9946194dae777bbf8019559ccb11daf74698bd497746584c0a057c5546219b36

Analysis

max time kernel
149s
max time network
150s
platform
windows10-2004_x64
resource
win10v2004-20231222-en
resource tags

arch:x64arch:x86image:win10v2004-20231222-enlocale:en-usos:windows10-2004-x64system
submitted
07/01/2024, 12:05

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2024-01-06_1255b315e2f1c66fb8f013b1ffe70fdc_mafia.exe
Size

486KB
MD5

1255b315e2f1c66fb8f013b1ffe70fdc
SHA1

e9969ae05733d5ef31fcca7532b4ad3d7205829c
SHA256

9946194dae777bbf8019559ccb11daf74698bd497746584c0a057c5546219b36
SHA512

b9ee504d7fd54f1271bb6ed16a6c8e40cf764e6dbbc82c2d3a1bb791a6352eb5f2aa55fa9b93c92e7e497daa3b3f1589a545af7fcf8b3ae83bb18382573e419c
SSDEEP

12288:/U5rCOTeiDcwQgpygmJRsiEKjp7DKKdcJWRNZ:/UQOJD0ggfJRsfaBtdcJWRN

Score

7^/10

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
3200	4F39.tmp
2448	DC37.tmp
4728	9078.tmp
3248	2B9F.tmp
4548	1FD7.tmp
2012	Process not Found
4832	Process not Found
732	5208.tmp
4880	5256.tmp
2284	Process not Found
3936	6BF8.tmp
3704	Process not Found
1360	Process not Found
1332	53EC.tmp
4804	544A.tmp
2364	Process not Found
2388	Process not Found
3332	5534.tmp
4444	5582.tmp
468	55D1.tmp
3932	Process not Found
3012	Process not Found
4460	56EA.tmp
5092	Process not Found
1528	5786.tmp
4072	7EA1.tmp
3124	Process not Found
2060	5890.tmp
2184	Process not Found
1248	2759.tmp
4472	596A.tmp
2312	Process not Found
4476	Process not Found
3992	5A64.tmp
512	9C6F.tmp
680	67F1.tmp
3724	Process not Found
3868	Process not Found
3064	Process not Found
396	Process not Found
1956	9E92.tmp
4524	5CD5.tmp
3660	5D52.tmp
4832	Process not Found
2188	TrustedInstaller.exe
4552	Process not Found
3504	6B5C.tmp
4084	5EE9.tmp
3936	6BF8.tmp
3704	Process not Found
1360	Process not Found
1332	53EC.tmp
4804	544A.tmp
2364	Process not Found
2388	Process not Found
3332	5534.tmp
4444	5582.tmp
1716	3E9A.tmp
1020	Process not Found
5064	Process not Found
3932	Process not Found
5080	Process not Found
2488	Process not Found
2712	Process not Found

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4476 wrote to memory of 3200	4476	E687.tmp	678
PID 4476 wrote to memory of 3200	4476	E687.tmp	678
PID 4476 wrote to memory of 3200	4476	E687.tmp	678
PID 3200 wrote to memory of 2448	3200	4F39.tmp	490
PID 3200 wrote to memory of 2448	3200	4F39.tmp	490
PID 3200 wrote to memory of 2448	3200	4F39.tmp	490
PID 2448 wrote to memory of 4728	2448	DC37.tmp	249
PID 2448 wrote to memory of 4728	2448	DC37.tmp	249
PID 2448 wrote to memory of 4728	2448	DC37.tmp	249
PID 4728 wrote to memory of 3248	4728	9078.tmp	818
PID 4728 wrote to memory of 3248	4728	9078.tmp	818
PID 4728 wrote to memory of 3248	4728	9078.tmp	818
PID 3248 wrote to memory of 4548	3248	2B9F.tmp	780
PID 3248 wrote to memory of 4548	3248	2B9F.tmp	780
PID 3248 wrote to memory of 4548	3248	2B9F.tmp	780
PID 4548 wrote to memory of 2012	4548	Process not Found	1722
PID 4548 wrote to memory of 2012	4548	Process not Found	1722
PID 4548 wrote to memory of 2012	4548	Process not Found	1722
PID 2012 wrote to memory of 4832	2012	Process not Found	1309
PID 2012 wrote to memory of 4832	2012	Process not Found	1309
PID 2012 wrote to memory of 4832	2012	Process not Found	1309
PID 4832 wrote to memory of 732	4832	Process not Found	672
PID 4832 wrote to memory of 732	4832	Process not Found	672
PID 4832 wrote to memory of 732	4832	Process not Found	672
PID 732 wrote to memory of 4880	732	5208.tmp	671
PID 732 wrote to memory of 4880	732	5208.tmp	671
PID 732 wrote to memory of 4880	732	5208.tmp	671
PID 4880 wrote to memory of 2284	4880	5256.tmp	1605
PID 4880 wrote to memory of 2284	4880	5256.tmp	1605
PID 4880 wrote to memory of 2284	4880	5256.tmp	1605
PID 2284 wrote to memory of 3936	2284	Process not Found	143
PID 2284 wrote to memory of 3936	2284	Process not Found	143
PID 2284 wrote to memory of 3936	2284	Process not Found	143
PID 3936 wrote to memory of 3704	3936	6BF8.tmp	1829
PID 3936 wrote to memory of 3704	3936	6BF8.tmp	1829
PID 3936 wrote to memory of 3704	3936	6BF8.tmp	1829
PID 3704 wrote to memory of 1360	3704	Process not Found	1690
PID 3704 wrote to memory of 1360	3704	Process not Found	1690
PID 3704 wrote to memory of 1360	3704	Process not Found	1690
PID 1360 wrote to memory of 1332	1360	Process not Found	667
PID 1360 wrote to memory of 1332	1360	Process not Found	667
PID 1360 wrote to memory of 1332	1360	Process not Found	667
PID 1332 wrote to memory of 4804	1332	53EC.tmp	666
PID 1332 wrote to memory of 4804	1332	53EC.tmp	666
PID 1332 wrote to memory of 4804	1332	53EC.tmp	666
PID 4804 wrote to memory of 2364	4804	544A.tmp	1820
PID 4804 wrote to memory of 2364	4804	544A.tmp	1820
PID 4804 wrote to memory of 2364	4804	544A.tmp	1820
PID 2364 wrote to memory of 2388	2364	Process not Found	1632
PID 2364 wrote to memory of 2388	2364	Process not Found	1632
PID 2364 wrote to memory of 2388	2364	Process not Found	1632
PID 2388 wrote to memory of 3332	2388	Process not Found	663
PID 2388 wrote to memory of 3332	2388	Process not Found	663
PID 2388 wrote to memory of 3332	2388	Process not Found	663
PID 3332 wrote to memory of 4444	3332	5534.tmp	662
PID 3332 wrote to memory of 4444	3332	5534.tmp	662
PID 3332 wrote to memory of 4444	3332	5534.tmp	662
PID 4444 wrote to memory of 468	4444	5582.tmp	661
PID 4444 wrote to memory of 468	4444	5582.tmp	661
PID 4444 wrote to memory of 468	4444	5582.tmp	661
PID 468 wrote to memory of 3932	468	55D1.tmp	1606
PID 468 wrote to memory of 3932	468	55D1.tmp	1606
PID 468 wrote to memory of 3932	468	55D1.tmp	1606
PID 3932 wrote to memory of 3012	3932	Process not Found	1874

C:\Users\Admin\AppData\Local\Temp\2024-01-06_1255b315e2f1c66fb8f013b1ffe70fdc_mafia.exe
"C:\Users\Admin\AppData\Local\Temp\2024-01-06_1255b315e2f1c66fb8f013b1ffe70fdc_mafia.exe"
1⤵
PID:4476
- C:\Users\Admin\AppData\Local\Temp\5A64.tmp
  "C:\Users\Admin\AppData\Local\Temp\5A64.tmp"
  2⤵
  - Executes dropped EXE
  PID:3992
- - C:\Users\Admin\AppData\Local\Temp\5AB3.tmp
    "C:\Users\Admin\AppData\Local\Temp\5AB3.tmp"
    3⤵
    PID:512
  - - C:\Users\Admin\AppData\Local\Temp\5B01.tmp
      "C:\Users\Admin\AppData\Local\Temp\5B01.tmp"
      4⤵
      PID:680
    - - C:\Users\Admin\AppData\Local\Temp\5B4F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B4F.tmp"
        5⤵
        
        PID:3724
      - C:\Users\Admin\AppData\Local\Temp\5B9D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B9D.tmp"
        6⤵
        
        PID:3868
        
        C:\Users\Admin\AppData\Local\Temp\68EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\68EB.tmp"
        7⤵
        
        PID:3064
        
        C:\Users\Admin\AppData\Local\Temp\6939.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6939.tmp"
        8⤵
        
        PID:396
        
        C:\Users\Admin\AppData\Local\Temp\6987.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6987.tmp"
        9⤵
        
        PID:1956
        
        C:\Users\Admin\AppData\Local\Temp\69D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\69D6.tmp"
        10⤵
        
        PID:776
        
        C:\Users\Admin\AppData\Local\Temp\6A24.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A24.tmp"
        11⤵
        
        PID:4764
        
        C:\Users\Admin\AppData\Local\Temp\6A72.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A72.tmp"
        12⤵
        
        PID:4832
        
        C:\Users\Admin\AppData\Local\Temp\9163.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9163.tmp"
        10⤵
        
        PID:4364
        
        C:\Users\Admin\AppData\Local\Temp\91B1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\91B1.tmp"
        11⤵
        
        PID:1696
        
        C:\Users\Admin\AppData\Local\Temp\920E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\920E.tmp"
        12⤵
        
        PID:1372
        
        C:\Users\Admin\AppData\Local\Temp\925D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\925D.tmp"
        13⤵
        
        PID:3404
        
        C:\Users\Admin\AppData\Local\Temp\92BA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\92BA.tmp"
        14⤵
        
        PID:4880
        
        C:\Users\Admin\AppData\Local\Temp\9308.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9308.tmp"
        15⤵
        
        PID:3044
        
        C:\Users\Admin\AppData\Local\Temp\9357.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9357.tmp"
        16⤵
        
        PID:4480
        
        C:\Users\Admin\AppData\Local\Temp\52A4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\52A4.tmp"
        15⤵
        
        PID:2284
        
        C:\Users\Admin\AppData\Local\Temp\9F7C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9F7C.tmp"
        12⤵
        
        PID:2680
        
        C:\Users\Admin\AppData\Local\Temp\9FCA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9FCA.tmp"
        13⤵
        
        PID:3848
        
        C:\Users\Admin\AppData\Local\Temp\A018.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A018.tmp"
        14⤵
        
        PID:1884
        
        C:\Users\Admin\AppData\Local\Temp\A066.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A066.tmp"
        15⤵
        
        PID:4108
        
        C:\Users\Admin\AppData\Local\Temp\780E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\780E.tmp"
        15⤵
        
        PID:1352
        
        C:\Users\Admin\AppData\Local\Temp\20B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\20B2.tmp"
        16⤵
        
        PID:232
        
        C:\Users\Admin\AppData\Local\Temp\2100.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2100.tmp"
        17⤵
        
        PID:1776
        
        C:\Users\Admin\AppData\Local\Temp\214E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\214E.tmp"
        18⤵
        
        PID:2696
        
        C:\Users\Admin\AppData\Local\Temp\219C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\219C.tmp"
        19⤵
        
        PID:3408
        
        C:\Users\Admin\AppData\Local\Temp\2F0A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2F0A.tmp"
        18⤵
        
        PID:2696
        
        C:\Users\Admin\AppData\Local\Temp\2F58.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2F58.tmp"
        19⤵
        
        PID:3408
        
        C:\Users\Admin\AppData\Local\Temp\2FA6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2FA6.tmp"
        20⤵
        
        PID:1456
  - - C:\Users\Admin\AppData\Local\Temp\9CBD.tmp
      "C:\Users\Admin\AppData\Local\Temp\9CBD.tmp"
      4⤵
      PID:2516
    - - C:\Users\Admin\AppData\Local\Temp\9D0B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D0B.tmp"
        5⤵
        
        PID:4660
      - C:\Users\Admin\AppData\Local\Temp\9D59.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D59.tmp"
        6⤵
        
        PID:3248
        
        C:\Users\Admin\AppData\Local\Temp\9DA7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9DA7.tmp"
        7⤵
        
        PID:4888
        
        C:\Users\Admin\AppData\Local\Temp\9DF5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9DF5.tmp"
        8⤵
        
        PID:2012
        
        C:\Users\Admin\AppData\Local\Temp\9E43.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9E43.tmp"
        9⤵
        
        PID:3868
        
        C:\Users\Admin\AppData\Local\Temp\9E92.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9E92.tmp"
        10⤵
        Executes dropped EXE
        
        PID:1956
        
        C:\Users\Admin\AppData\Local\Temp\B8E0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B8E0.tmp"
        10⤵
        
        PID:2104
        
        C:\Users\Admin\AppData\Local\Temp\B92E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B92E.tmp"
        11⤵
        
        PID:4956
        
        C:\Users\Admin\AppData\Local\Temp\B97C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B97C.tmp"
        12⤵
        
        PID:736
        
        C:\Users\Admin\AppData\Local\Temp\51AA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\51AA.tmp"
        9⤵
        
        PID:4832
        
        C:\Users\Admin\AppData\Local\Temp\EACD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EACD.tmp"
        8⤵
        
        PID:4844
        
        C:\Users\Admin\AppData\Local\Temp\EB1B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB1B.tmp"
        9⤵
        
        PID:980
        
        C:\Users\Admin\AppData\Local\Temp\EB69.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB69.tmp"
        10⤵
        
        PID:5044
        
        C:\Users\Admin\AppData\Local\Temp\510E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\510E.tmp"
        7⤵
        
        PID:4548
        
        C:\Users\Admin\AppData\Local\Temp\2025.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2025.tmp"
        8⤵
        
        PID:4636
        
        C:\Users\Admin\AppData\Local\Temp\2074.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2074.tmp"
        9⤵
        
        PID:1352
      - C:\Users\Admin\AppData\Local\Temp\FE9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE9.tmp"
        6⤵
        
        PID:3312
        
        C:\Users\Admin\AppData\Local\Temp\1037.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1037.tmp"
        7⤵
        
        PID:464
        
        C:\Users\Admin\AppData\Local\Temp\1085.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1085.tmp"
        8⤵
        
        PID:1200
    - - C:\Users\Admin\AppData\Local\Temp\CFF2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CFF2.tmp"
        5⤵
        
        PID:2360
      - C:\Users\Admin\AppData\Local\Temp\D040.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D040.tmp"
        6⤵
        
        PID:1992
        
        C:\Users\Admin\AppData\Local\Temp\D08E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D08E.tmp"
        7⤵
        
        PID:4944

C:\Users\Admin\AppData\Local\Temp\4FA6.tmp
"C:\Users\Admin\AppData\Local\Temp\4FA6.tmp"
1⤵
PID:2448
- C:\Users\Admin\AppData\Local\Temp\4FF5.tmp
  "C:\Users\Admin\AppData\Local\Temp\4FF5.tmp"
  2⤵
  PID:4728

C:\Users\Admin\AppData\Local\Temp\515C.tmp
"C:\Users\Admin\AppData\Local\Temp\515C.tmp"
1⤵
PID:2012

C:\Users\Admin\AppData\Local\Temp\5302.tmp
"C:\Users\Admin\AppData\Local\Temp\5302.tmp"
1⤵
PID:3936

C:\Users\Admin\AppData\Local\Temp\561F.tmp
"C:\Users\Admin\AppData\Local\Temp\561F.tmp"
1⤵
PID:3932

C:\Users\Admin\AppData\Local\Temp\591C.tmp
"C:\Users\Admin\AppData\Local\Temp\591C.tmp"
1⤵
PID:1248

C:\Users\Admin\AppData\Local\Temp\5A16.tmp
"C:\Users\Admin\AppData\Local\Temp\5A16.tmp"
1⤵
PID:4476

C:\Users\Admin\AppData\Local\Temp\5BEB.tmp
"C:\Users\Admin\AppData\Local\Temp\5BEB.tmp"
1⤵
PID:3064
- C:\Users\Admin\AppData\Local\Temp\5C39.tmp
  "C:\Users\Admin\AppData\Local\Temp\5C39.tmp"
  2⤵
  PID:396
- - C:\Users\Admin\AppData\Local\Temp\5C87.tmp
    "C:\Users\Admin\AppData\Local\Temp\5C87.tmp"
    3⤵
    PID:1956

C:\Users\Admin\AppData\Local\Temp\5CD5.tmp
"C:\Users\Admin\AppData\Local\Temp\5CD5.tmp"
1⤵
- Executes dropped EXE
PID:4524
- C:\Users\Admin\AppData\Local\Temp\5D52.tmp
  "C:\Users\Admin\AppData\Local\Temp\5D52.tmp"
  2⤵
  - Executes dropped EXE
  PID:3660

C:\Users\Admin\AppData\Local\Temp\5DB0.tmp
"C:\Users\Admin\AppData\Local\Temp\5DB0.tmp"
1⤵
PID:4832
- C:\Users\Admin\AppData\Local\Temp\5DFE.tmp
  "C:\Users\Admin\AppData\Local\Temp\5DFE.tmp"
  2⤵
  PID:2188
- - C:\Users\Admin\AppData\Local\Temp\5E4C.tmp
    "C:\Users\Admin\AppData\Local\Temp\5E4C.tmp"
    3⤵
    PID:4552
- C:\Users\Admin\AppData\Local\Temp\6AC0.tmp
  "C:\Users\Admin\AppData\Local\Temp\6AC0.tmp"
  2⤵
  PID:2188
- - C:\Users\Admin\AppData\Local\Temp\6B0E.tmp
    "C:\Users\Admin\AppData\Local\Temp\6B0E.tmp"
    3⤵
    PID:4552
  - - C:\Users\Admin\AppData\Local\Temp\6B5C.tmp
      "C:\Users\Admin\AppData\Local\Temp\6B5C.tmp"
      4⤵
      Executes dropped EXE
      PID:3504
  - - C:\Users\Admin\AppData\Local\Temp\ED00.tmp
      "C:\Users\Admin\AppData\Local\Temp\ED00.tmp"
      4⤵
      PID:1892
    - - C:\Users\Admin\AppData\Local\Temp\ED4E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED4E.tmp"
        5⤵
        
        PID:956
      - C:\Users\Admin\AppData\Local\Temp\ED9C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED9C.tmp"
        6⤵
        
        PID:3408
        
        C:\Users\Admin\AppData\Local\Temp\21EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\21EB.tmp"
        7⤵
        
        PID:1768
        
        C:\Users\Admin\AppData\Local\Temp\2239.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2239.tmp"
        8⤵
        
        PID:4504
        
        C:\Users\Admin\AppData\Local\Temp\2287.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2287.tmp"
        9⤵
        
        PID:2820
        
        C:\Users\Admin\AppData\Local\Temp\6925.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6925.tmp"
        8⤵
        
        PID:1456
        
        C:\Users\Admin\AppData\Local\Temp\6973.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6973.tmp"
        9⤵
        
        PID:4588
        
        C:\Users\Admin\AppData\Local\Temp\69C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\69C1.tmp"
        10⤵
        
        PID:3236
- - C:\Users\Admin\AppData\Local\Temp\8647.tmp
    "C:\Users\Admin\AppData\Local\Temp\8647.tmp"
    3⤵
    PID:4504
  - - C:\Users\Admin\AppData\Local\Temp\86A5.tmp
      "C:\Users\Admin\AppData\Local\Temp\86A5.tmp"
      4⤵
      PID:4280
    - - C:\Users\Admin\AppData\Local\Temp\8702.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8702.tmp"
        5⤵
        
        PID:3592
      - C:\Users\Admin\AppData\Local\Temp\8750.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8750.tmp"
        6⤵
        
        PID:3704
        
        C:\Users\Admin\AppData\Local\Temp\879F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\879F.tmp"
        7⤵
        
        PID:1488
        
        C:\Users\Admin\AppData\Local\Temp\87ED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\87ED.tmp"
        8⤵
        
        PID:3604
        
        C:\Users\Admin\AppData\Local\Temp\883B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\883B.tmp"
        9⤵
        
        PID:1868
        
        C:\Users\Admin\AppData\Local\Temp\8889.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8889.tmp"
        10⤵
        
        PID:1780
        
        C:\Users\Admin\AppData\Local\Temp\88D7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\88D7.tmp"
        11⤵
        
        PID:1712
        
        C:\Users\Admin\AppData\Local\Temp\BBFD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BBFD.tmp"
        7⤵
        
        PID:2036
        
        C:\Users\Admin\AppData\Local\Temp\BC4B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC4B.tmp"
        8⤵
        
        PID:4600
        
        C:\Users\Admin\AppData\Local\Temp\BC99.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC99.tmp"
        9⤵
        
        PID:2472
        
        C:\Users\Admin\AppData\Local\Temp\BCE7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BCE7.tmp"
        10⤵
        
        PID:1208
      - C:\Users\Admin\AppData\Local\Temp\AECE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AECE.tmp"
        6⤵
        
        PID:2920
        
        C:\Users\Admin\AppData\Local\Temp\AF1C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AF1C.tmp"
        7⤵
        
        PID:5016

C:\Users\Admin\AppData\Local\Temp\5E9B.tmp
"C:\Users\Admin\AppData\Local\Temp\5E9B.tmp"
1⤵
PID:3504
- C:\Users\Admin\AppData\Local\Temp\5EE9.tmp
  "C:\Users\Admin\AppData\Local\Temp\5EE9.tmp"
  2⤵
  - Executes dropped EXE
  PID:4084
- - C:\Users\Admin\AppData\Local\Temp\5F37.tmp
    "C:\Users\Admin\AppData\Local\Temp\5F37.tmp"
    3⤵
    PID:3936
  - - C:\Users\Admin\AppData\Local\Temp\5F85.tmp
      "C:\Users\Admin\AppData\Local\Temp\5F85.tmp"
      4⤵
      PID:3704
    - - C:\Users\Admin\AppData\Local\Temp\6C95.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C95.tmp"
        5⤵
        
        PID:1360
      - C:\Users\Admin\AppData\Local\Temp\6CE3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6CE3.tmp"
        6⤵
        
        PID:1332
        
        C:\Users\Admin\AppData\Local\Temp\6D31.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D31.tmp"
        7⤵
        
        PID:4804
        
        C:\Users\Admin\AppData\Local\Temp\6D9E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D9E.tmp"
        8⤵
        
        PID:3308
        
        C:\Users\Admin\AppData\Local\Temp\5498.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5498.tmp"
        8⤵
        
        PID:2364
        
        C:\Users\Admin\AppData\Local\Temp\1604.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1604.tmp"
        9⤵
        
        PID:2688
        
        C:\Users\Admin\AppData\Local\Temp\1652.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1652.tmp"
        10⤵
        
        PID:336
        
        C:\Users\Admin\AppData\Local\Temp\16A0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\16A0.tmp"
        11⤵
        
        PID:3708
        
        C:\Users\Admin\AppData\Local\Temp\16EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\16EE.tmp"
        12⤵
        
        PID:1064
        
        C:\Users\Admin\AppData\Local\Temp\24AA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\24AA.tmp"
        12⤵
        
        PID:1064
        
        C:\Users\Admin\AppData\Local\Temp\24F8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\24F8.tmp"
        13⤵
        
        PID:2328
        
        C:\Users\Admin\AppData\Local\Temp\2546.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2546.tmp"
        14⤵
        
        PID:4076
        
        C:\Users\Admin\AppData\Local\Temp\2594.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2594.tmp"
        15⤵
        
        PID:1616
        
        C:\Users\Admin\AppData\Local\Temp\6C90.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C90.tmp"
        15⤵
        
        PID:1616
        
        C:\Users\Admin\AppData\Local\Temp\6CDE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6CDE.tmp"
        16⤵
        
        PID:3284
        
        C:\Users\Admin\AppData\Local\Temp\6D2C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D2C.tmp"
        17⤵
        
        PID:3904
        
        C:\Users\Admin\AppData\Local\Temp\6D7A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D7A.tmp"
        18⤵
        
        PID:760
        
        C:\Users\Admin\AppData\Local\Temp\312D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\312D.tmp"
        10⤵
        
        PID:336
        
        C:\Users\Admin\AppData\Local\Temp\317B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\317B.tmp"
        11⤵
        
        PID:4600
        
        C:\Users\Admin\AppData\Local\Temp\31C9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\31C9.tmp"
        12⤵
        
        PID:5036
        
        C:\Users\Admin\AppData\Local\Temp\3217.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3217.tmp"
        13⤵
        
        PID:3708
        
        C:\Users\Admin\AppData\Local\Temp\406F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\406F.tmp"
        14⤵
        
        PID:1064
        
        C:\Users\Admin\AppData\Local\Temp\40BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\40BD.tmp"
        15⤵
        
        PID:2328
        
        C:\Users\Admin\AppData\Local\Temp\410B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\410B.tmp"
        16⤵
        
        PID:2036
        
        C:\Users\Admin\AppData\Local\Temp\4159.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4159.tmp"
        17⤵
        
        PID:2992
        
        C:\Users\Admin\AppData\Local\Temp\41A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\41A8.tmp"
        18⤵
        
        PID:3712
        
        C:\Users\Admin\AppData\Local\Temp\41F6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\41F6.tmp"
        19⤵
        
        PID:1820
        
        C:\Users\Admin\AppData\Local\Temp\4244.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4244.tmp"
        20⤵
        
        PID:2480
        
        C:\Users\Admin\AppData\Local\Temp\509C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\509C.tmp"
        19⤵
        
        PID:1820
        
        C:\Users\Admin\AppData\Local\Temp\50EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\50EA.tmp"
        20⤵
        
        PID:2940
        
        C:\Users\Admin\AppData\Local\Temp\544A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\544A.tmp"
        7⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4804
- C:\Users\Admin\AppData\Local\Temp\6BAA.tmp
  "C:\Users\Admin\AppData\Local\Temp\6BAA.tmp"
  2⤵
  PID:4328
- - C:\Users\Admin\AppData\Local\Temp\6BF8.tmp
    "C:\Users\Admin\AppData\Local\Temp\6BF8.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:3936
  - - C:\Users\Admin\AppData\Local\Temp\6C47.tmp
      "C:\Users\Admin\AppData\Local\Temp\6C47.tmp"
      4⤵
      PID:3704
    - - C:\Users\Admin\AppData\Local\Temp\539E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\539E.tmp"
        5⤵
        
        PID:1360
  - - C:\Users\Admin\AppData\Local\Temp\5350.tmp
      "C:\Users\Admin\AppData\Local\Temp\5350.tmp"
      4⤵
      PID:3704

C:\Users\Admin\AppData\Local\Temp\5FD3.tmp
"C:\Users\Admin\AppData\Local\Temp\5FD3.tmp"
1⤵
PID:1360
- C:\Users\Admin\AppData\Local\Temp\6021.tmp
  "C:\Users\Admin\AppData\Local\Temp\6021.tmp"
  2⤵
  PID:1332
- - C:\Users\Admin\AppData\Local\Temp\606F.tmp
    "C:\Users\Admin\AppData\Local\Temp\606F.tmp"
    3⤵
    PID:4804
  - - C:\Users\Admin\AppData\Local\Temp\60BD.tmp
      "C:\Users\Admin\AppData\Local\Temp\60BD.tmp"
      4⤵
      PID:2364

C:\Users\Admin\AppData\Local\Temp\610C.tmp
"C:\Users\Admin\AppData\Local\Temp\610C.tmp"
1⤵
PID:2388
- C:\Users\Admin\AppData\Local\Temp\6169.tmp
  "C:\Users\Admin\AppData\Local\Temp\6169.tmp"
  2⤵
  PID:3332
- - C:\Users\Admin\AppData\Local\Temp\61C7.tmp
    "C:\Users\Admin\AppData\Local\Temp\61C7.tmp"
    3⤵
    PID:4444
  - - C:\Users\Admin\AppData\Local\Temp\6215.tmp
      "C:\Users\Admin\AppData\Local\Temp\6215.tmp"
      4⤵
      PID:1716
    - - C:\Users\Admin\AppData\Local\Temp\6263.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6263.tmp"
        5⤵
        
        PID:1020
  - - C:\Users\Admin\AppData\Local\Temp\55D1.tmp
      "C:\Users\Admin\AppData\Local\Temp\55D1.tmp"
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:468
- - C:\Users\Admin\AppData\Local\Temp\5582.tmp
    "C:\Users\Admin\AppData\Local\Temp\5582.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:4444

C:\Users\Admin\AppData\Local\Temp\62B1.tmp
"C:\Users\Admin\AppData\Local\Temp\62B1.tmp"
1⤵
PID:5064
- C:\Users\Admin\AppData\Local\Temp\6300.tmp
  "C:\Users\Admin\AppData\Local\Temp\6300.tmp"
  2⤵
  PID:3932
- - C:\Users\Admin\AppData\Local\Temp\B1DB.tmp
    "C:\Users\Admin\AppData\Local\Temp\B1DB.tmp"
    3⤵
    PID:4976
  - - C:\Users\Admin\AppData\Local\Temp\B229.tmp
      "C:\Users\Admin\AppData\Local\Temp\B229.tmp"
      4⤵
      PID:212
    - - C:\Users\Admin\AppData\Local\Temp\B277.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B277.tmp"
        5⤵
        
        PID:4116
      - C:\Users\Admin\AppData\Local\Temp\B2C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B2C5.tmp"
        6⤵
        
        PID:2116
- - C:\Users\Admin\AppData\Local\Temp\F0F7.tmp
    "C:\Users\Admin\AppData\Local\Temp\F0F7.tmp"
    3⤵
    PID:1616
  - - C:\Users\Admin\AppData\Local\Temp\F145.tmp
      "C:\Users\Admin\AppData\Local\Temp\F145.tmp"
      4⤵
      PID:2992
    - - C:\Users\Admin\AppData\Local\Temp\F194.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F194.tmp"
        5⤵
        
        PID:5064
      - C:\Users\Admin\AppData\Local\Temp\BE6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE6E.tmp"
        6⤵
        
        PID:1864
    - - C:\Users\Admin\AppData\Local\Temp\339E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\339E.tmp"
        5⤵
        
        PID:3284
      - C:\Users\Admin\AppData\Local\Temp\33EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\33EC.tmp"
        6⤵
        
        PID:2984
        
        C:\Users\Admin\AppData\Local\Temp\343A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\343A.tmp"
        7⤵
        
        PID:3208
  - - C:\Users\Admin\AppData\Local\Temp\1827.tmp
      "C:\Users\Admin\AppData\Local\Temp\1827.tmp"
      4⤵
      PID:3012
    - - C:\Users\Admin\AppData\Local\Temp\1875.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1875.tmp"
        5⤵
        
        PID:1628
      - C:\Users\Admin\AppData\Local\Temp\18C3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\18C3.tmp"
        6⤵
        
        PID:4424
        
        C:\Users\Admin\AppData\Local\Temp\1911.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1911.tmp"
        7⤵
        
        PID:2480
        
        C:\Users\Admin\AppData\Local\Temp\195F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\195F.tmp"
        8⤵
        
        PID:3904
        
        C:\Users\Admin\AppData\Local\Temp\19AD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\19AD.tmp"
        9⤵
        
        PID:4332
        
        C:\Users\Admin\AppData\Local\Temp\5F71.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F71.tmp"
        10⤵
        
        PID:3980
        
        C:\Users\Admin\AppData\Local\Temp\5FBF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5FBF.tmp"
        11⤵
        
        PID:3972
        
        C:\Users\Admin\AppData\Local\Temp\600D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\600D.tmp"
        12⤵
        
        PID:368
        
        C:\Users\Admin\AppData\Local\Temp\605B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\605B.tmp"
        13⤵
        
        PID:2088
        
        C:\Users\Admin\AppData\Local\Temp\6F01.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F01.tmp"
        12⤵
        
        PID:368
        
        C:\Users\Admin\AppData\Local\Temp\6F4F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F4F.tmp"
        13⤵
        
        PID:2088
        
        C:\Users\Admin\AppData\Local\Temp\6F9D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F9D.tmp"
        14⤵
        
        PID:3908
        
        C:\Users\Admin\AppData\Local\Temp\6FEB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6FEB.tmp"
        15⤵
        
        PID:2964
        
        C:\Users\Admin\AppData\Local\Temp\7039.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7039.tmp"
        16⤵
        
        PID:1252
        
        C:\Users\Admin\AppData\Local\Temp\26BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\26BD.tmp"
        7⤵
        
        PID:2480
        
        C:\Users\Admin\AppData\Local\Temp\270B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\270B.tmp"
        8⤵
        
        PID:2184
        
        C:\Users\Admin\AppData\Local\Temp\2759.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2759.tmp"
        9⤵
        Executes dropped EXE
        
        PID:1248
        
        C:\Users\Admin\AppData\Local\Temp\4292.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4292.tmp"
        8⤵
        
        PID:3548
        
        C:\Users\Admin\AppData\Local\Temp\42E0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\42E0.tmp"
        9⤵
        
        PID:3972
        
        C:\Users\Admin\AppData\Local\Temp\432E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\432E.tmp"
        10⤵
        
        PID:368
        
        C:\Users\Admin\AppData\Local\Temp\438C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\438C.tmp"
        11⤵
        
        PID:3924
        
        C:\Users\Admin\AppData\Local\Temp\43DA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\43DA.tmp"
        12⤵
        
        PID:2312
        
        C:\Users\Admin\AppData\Local\Temp\4438.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4438.tmp"
        13⤵
        
        PID:880
        
        C:\Users\Admin\AppData\Local\Temp\4486.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4486.tmp"
        14⤵
        
        PID:2756
- C:\Users\Admin\AppData\Local\Temp\7D5E.tmp
  "C:\Users\Admin\AppData\Local\Temp\7D5E.tmp"
  2⤵
  PID:1864
- - C:\Users\Admin\AppData\Local\Temp\7DAC.tmp
    "C:\Users\Admin\AppData\Local\Temp\7DAC.tmp"
    3⤵
    PID:1620
  - - C:\Users\Admin\AppData\Local\Temp\7DFA.tmp
      "C:\Users\Admin\AppData\Local\Temp\7DFA.tmp"
      4⤵
      PID:4116

C:\Users\Admin\AppData\Local\Temp\63BB.tmp
"C:\Users\Admin\AppData\Local\Temp\63BB.tmp"
1⤵
PID:2488
- C:\Users\Admin\AppData\Local\Temp\63FA.tmp
  "C:\Users\Admin\AppData\Local\Temp\63FA.tmp"
  2⤵
  PID:2712
- - C:\Users\Admin\AppData\Local\Temp\6448.tmp
    "C:\Users\Admin\AppData\Local\Temp\6448.tmp"
    3⤵
    PID:3320
- - C:\Users\Admin\AppData\Local\Temp\98E4.tmp
    "C:\Users\Admin\AppData\Local\Temp\98E4.tmp"
    3⤵
    PID:1528
  - - C:\Users\Admin\AppData\Local\Temp\9923.tmp
      "C:\Users\Admin\AppData\Local\Temp\9923.tmp"
      4⤵
      PID:4580
    - - C:\Users\Admin\AppData\Local\Temp\9971.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9971.tmp"
        5⤵
        
        PID:3208
  - - C:\Users\Admin\AppData\Local\Temp\A7B9.tmp
      "C:\Users\Admin\AppData\Local\Temp\A7B9.tmp"
      4⤵
      PID:4580
    - - C:\Users\Admin\AppData\Local\Temp\A807.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A807.tmp"
        5⤵
        
        PID:3208
      - C:\Users\Admin\AppData\Local\Temp\A856.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A856.tmp"
        6⤵
        
        PID:3904
        
        C:\Users\Admin\AppData\Local\Temp\A8A4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A8A4.tmp"
        7⤵
        
        PID:2320
        
        C:\Users\Admin\AppData\Local\Temp\A8F2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A8F2.tmp"
        8⤵
        
        PID:760

C:\Users\Admin\AppData\Local\Temp\6496.tmp
"C:\Users\Admin\AppData\Local\Temp\6496.tmp"
1⤵
PID:2740
- C:\Users\Admin\AppData\Local\Temp\64E4.tmp
  "C:\Users\Admin\AppData\Local\Temp\64E4.tmp"
  2⤵
  PID:1688
- - C:\Users\Admin\AppData\Local\Temp\6532.tmp
    "C:\Users\Admin\AppData\Local\Temp\6532.tmp"
    3⤵
    PID:4740

C:\Users\Admin\AppData\Local\Temp\6580.tmp
"C:\Users\Admin\AppData\Local\Temp\6580.tmp"
1⤵
PID:4712
- C:\Users\Admin\AppData\Local\Temp\65CE.tmp
  "C:\Users\Admin\AppData\Local\Temp\65CE.tmp"
  2⤵
  PID:4432
- - C:\Users\Admin\AppData\Local\Temp\E639.tmp
    "C:\Users\Admin\AppData\Local\Temp\E639.tmp"
    3⤵
    PID:368
  - - C:\Users\Admin\AppData\Local\Temp\E687.tmp
      "C:\Users\Admin\AppData\Local\Temp\E687.tmp"
      4⤵
      Suspicious use of WriteProcessMemory
      PID:4476
    - - C:\Users\Admin\AppData\Local\Temp\E6D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E6D6.tmp"
        5⤵
        
        PID:4428
    - - C:\Users\Admin\AppData\Local\Temp\4F39.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F39.tmp"
        5⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3200

C:\Users\Admin\AppData\Local\Temp\666B.tmp
"C:\Users\Admin\AppData\Local\Temp\666B.tmp"
1⤵
PID:1236
- C:\Users\Admin\AppData\Local\Temp\66B9.tmp
  "C:\Users\Admin\AppData\Local\Temp\66B9.tmp"
  2⤵
  PID:1700
- - C:\Users\Admin\AppData\Local\Temp\8E94.tmp
    "C:\Users\Admin\AppData\Local\Temp\8E94.tmp"
    3⤵
    PID:1252
  - - C:\Users\Admin\AppData\Local\Temp\8EE2.tmp
      "C:\Users\Admin\AppData\Local\Temp\8EE2.tmp"
      4⤵
      PID:3520
    - - C:\Users\Admin\AppData\Local\Temp\8F30.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F30.tmp"
        5⤵
        
        PID:4900
      - C:\Users\Admin\AppData\Local\Temp\8F7E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F7E.tmp"
        6⤵
        
        PID:2728
        
        C:\Users\Admin\AppData\Local\Temp\8FCC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8FCC.tmp"
        7⤵
        
        PID:4496
        
        C:\Users\Admin\AppData\Local\Temp\901A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\901A.tmp"
        8⤵
        
        PID:3004
        
        C:\Users\Admin\AppData\Local\Temp\9078.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9078.tmp"
        9⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4728
        
        C:\Users\Admin\AppData\Local\Temp\90C6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\90C6.tmp"
        10⤵
        
        PID:3868
        
        C:\Users\Admin\AppData\Local\Temp\9114.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9114.tmp"
        11⤵
        
        PID:1956
        
        C:\Users\Admin\AppData\Local\Temp\9EE0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9EE0.tmp"
        12⤵
        
        PID:4364
        
        C:\Users\Admin\AppData\Local\Temp\9F2E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9F2E.tmp"
        13⤵
        
        PID:1696
        
        C:\Users\Admin\AppData\Local\Temp\50C0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\50C0.tmp"
        10⤵
        
        PID:3248
        
        C:\Users\Admin\AppData\Local\Temp\1393.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1393.tmp"
        9⤵
        
        PID:1668
        
        C:\Users\Admin\AppData\Local\Temp\13E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\13E1.tmp"
        10⤵
        
        PID:1468
        
        C:\Users\Admin\AppData\Local\Temp\142F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\142F.tmp"
        11⤵
        
        PID:4360
        
        C:\Users\Admin\AppData\Local\Temp\147D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\147D.tmp"
        12⤵
        
        PID:2460
        
        C:\Users\Admin\AppData\Local\Temp\3D62.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3D62.tmp"
        12⤵
        
        PID:2460
        
        C:\Users\Admin\AppData\Local\Temp\3DB0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3DB0.tmp"
        13⤵
        
        PID:3296
    - - C:\Users\Admin\AppData\Local\Temp\C2D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C2D3.tmp"
        5⤵
        
        PID:1052
      - C:\Users\Admin\AppData\Local\Temp\C321.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C321.tmp"
        6⤵
        
        PID:3000
        
        C:\Users\Admin\AppData\Local\Temp\C36F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C36F.tmp"
        7⤵
        
        PID:1752
        
        C:\Users\Admin\AppData\Local\Temp\F760.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F760.tmp"
        8⤵
        
        PID:2388
        
        C:\Users\Admin\AppData\Local\Temp\F7AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F7AE.tmp"
        9⤵
        
        PID:540
        
        C:\Users\Admin\AppData\Local\Temp\F7FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F7FC.tmp"
        10⤵
        
        PID:3556
        
        C:\Users\Admin\AppData\Local\Temp\F85A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F85A.tmp"
        11⤵
        
        PID:4956
        
        C:\Users\Admin\AppData\Local\Temp\F8A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F8A8.tmp"
        12⤵
        
        PID:836
        
        C:\Users\Admin\AppData\Local\Temp\F8F6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F8F6.tmp"
        13⤵
        
        PID:1072
        
        C:\Users\Admin\AppData\Local\Temp\F944.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F944.tmp"
        14⤵
        
        PID:1916
        
        C:\Users\Admin\AppData\Local\Temp\81FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\81FC.tmp"
        14⤵
        
        PID:836
        
        C:\Users\Admin\AppData\Local\Temp\824A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\824A.tmp"
        15⤵
        
        PID:532
        
        C:\Users\Admin\AppData\Local\Temp\8299.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8299.tmp"
        16⤵
        
        PID:1632
        
        C:\Users\Admin\AppData\Local\Temp\1F3B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F3B.tmp"
        13⤵
        
        PID:1044
        
        C:\Users\Admin\AppData\Local\Temp\1F89.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F89.tmp"
        14⤵
        
        PID:396
        
        C:\Users\Admin\AppData\Local\Temp\1FD7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1FD7.tmp"
        15⤵
        Executes dropped EXE
        
        PID:4548
        
        C:\Users\Admin\AppData\Local\Temp\DEA8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DEA8.tmp"
        11⤵
        
        PID:4760
        
        C:\Users\Admin\AppData\Local\Temp\72DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\72DE.tmp"
        11⤵
        
        PID:2088
        
        C:\Users\Admin\AppData\Local\Temp\5534.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5534.tmp"
        9⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3332
  - - C:\Users\Admin\AppData\Local\Temp\F4D.tmp
      "C:\Users\Admin\AppData\Local\Temp\F4D.tmp"
      4⤵
      PID:832
    - - C:\Users\Admin\AppData\Local\Temp\F9B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9B.tmp"
        5⤵
        
        PID:4660

C:\Users\Admin\AppData\Local\Temp\66F7.tmp
"C:\Users\Admin\AppData\Local\Temp\66F7.tmp"
1⤵
PID:3924

C:\Users\Admin\AppData\Local\Temp\67A3.tmp
"C:\Users\Admin\AppData\Local\Temp\67A3.tmp"
1⤵
PID:2752
- C:\Users\Admin\AppData\Local\Temp\67F1.tmp
  "C:\Users\Admin\AppData\Local\Temp\67F1.tmp"
  2⤵
  - Executes dropped EXE
  PID:680
- - C:\Users\Admin\AppData\Local\Temp\683F.tmp
    "C:\Users\Admin\AppData\Local\Temp\683F.tmp"
    3⤵
    PID:3724
  - - C:\Users\Admin\AppData\Local\Temp\B7F6.tmp
      "C:\Users\Admin\AppData\Local\Temp\B7F6.tmp"
      4⤵
      PID:3448
    - - C:\Users\Admin\AppData\Local\Temp\B844.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B844.tmp"
        5⤵
        
        PID:4548
      - C:\Users\Admin\AppData\Local\Temp\B892.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B892.tmp"
        6⤵
        
        PID:3868
      - C:\Users\Admin\AppData\Local\Temp\7697.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7697.tmp"
        6⤵
        
        PID:1644

C:\Users\Admin\AppData\Local\Temp\6DEC.tmp
"C:\Users\Admin\AppData\Local\Temp\6DEC.tmp"
1⤵
PID:4268
- C:\Users\Admin\AppData\Local\Temp\6E3B.tmp
  "C:\Users\Admin\AppData\Local\Temp\6E3B.tmp"
  2⤵
  PID:1076
- - C:\Users\Admin\AppData\Local\Temp\6E89.tmp
    "C:\Users\Admin\AppData\Local\Temp\6E89.tmp"
    3⤵
    PID:2940
  - - C:\Users\Admin\AppData\Local\Temp\6ED7.tmp
      "C:\Users\Admin\AppData\Local\Temp\6ED7.tmp"
      4⤵
      PID:3436
    - - C:\Users\Admin\AppData\Local\Temp\B0F1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B0F1.tmp"
        5⤵
        
        PID:4104
      - C:\Users\Admin\AppData\Local\Temp\B13F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B13F.tmp"
        6⤵
        
        PID:4224
        
        C:\Users\Admin\AppData\Local\Temp\B18D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B18D.tmp"
        7⤵
        
        PID:3932
        
        C:\Users\Admin\AppData\Local\Temp\636D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\636D.tmp"
        8⤵
        
        PID:5080
        
        C:\Users\Admin\AppData\Local\Temp\D78.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D78.tmp"
        9⤵
        
        PID:1236
        
        C:\Users\Admin\AppData\Local\Temp\DC6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC6.tmp"
        10⤵
        
        PID:1832
        
        C:\Users\Admin\AppData\Local\Temp\E14.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E14.tmp"
        11⤵
        
        PID:3908
        
        C:\Users\Admin\AppData\Local\Temp\E63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E63.tmp"
        12⤵
        
        PID:3304
        
        C:\Users\Admin\AppData\Local\Temp\365D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\365D.tmp"
        11⤵
        
        PID:3840
        
        C:\Users\Admin\AppData\Local\Temp\36AB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\36AB.tmp"
        12⤵
        
        PID:4236
        
        C:\Users\Admin\AppData\Local\Temp\36F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\36F9.tmp"
        13⤵
        
        PID:4260
        
        C:\Users\Admin\AppData\Local\Temp\3747.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3747.tmp"
        14⤵
        
        PID:1252
        
        C:\Users\Admin\AppData\Local\Temp\52CE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\52CE.tmp"
        13⤵
        
        PID:4260
        
        C:\Users\Admin\AppData\Local\Temp\531C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\531C.tmp"
        14⤵
        
        PID:1252
        
        C:\Users\Admin\AppData\Local\Temp\536A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\536A.tmp"
        15⤵
        
        PID:2444
        
        C:\Users\Admin\AppData\Local\Temp\53B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\53B9.tmp"
        16⤵
        
        PID:4660
        
        C:\Users\Admin\AppData\Local\Temp\5407.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5407.tmp"
        17⤵
        
        PID:3312
        
        C:\Users\Admin\AppData\Local\Temp\5455.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5455.tmp"
        18⤵
        
        PID:2728
        
        C:\Users\Admin\AppData\Local\Temp\7088.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7088.tmp"
        15⤵
        
        PID:2516
        
        C:\Users\Admin\AppData\Local\Temp\70D6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\70D6.tmp"
        16⤵
        
        PID:2332
        
        C:\Users\Admin\AppData\Local\Temp\568C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\568C.tmp"
        8⤵
        
        PID:3012
        
        C:\Users\Admin\AppData\Local\Temp\A1D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A1D.tmp"
        7⤵
        
        PID:2824
        
        C:\Users\Admin\AppData\Local\Temp\A6B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A6B.tmp"
        8⤵
        
        PID:4576
        
        C:\Users\Admin\AppData\Local\Temp\AB9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB9.tmp"
        9⤵
        
        PID:1492

C:\Users\Admin\AppData\Local\Temp\6F83.tmp
"C:\Users\Admin\AppData\Local\Temp\6F83.tmp"
1⤵
PID:2992
- C:\Users\Admin\AppData\Local\Temp\6FD1.tmp
  "C:\Users\Admin\AppData\Local\Temp\6FD1.tmp"
  2⤵
  PID:3012
- - C:\Users\Admin\AppData\Local\Temp\701F.tmp
    "C:\Users\Admin\AppData\Local\Temp\701F.tmp"
    3⤵
    PID:4460
  - - C:\Users\Admin\AppData\Local\Temp\706D.tmp
      "C:\Users\Admin\AppData\Local\Temp\706D.tmp"
      4⤵
      PID:5092
    - - C:\Users\Admin\AppData\Local\Temp\5786.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5786.tmp"
        5⤵
        Executes dropped EXE
        
        PID:1528
  - - C:\Users\Admin\AppData\Local\Temp\5738.tmp
      "C:\Users\Admin\AppData\Local\Temp\5738.tmp"
      4⤵
      PID:5092
- - C:\Users\Admin\AppData\Local\Temp\8AFA.tmp
    "C:\Users\Admin\AppData\Local\Temp\8AFA.tmp"
    3⤵
    PID:2328
  - - C:\Users\Admin\AppData\Local\Temp\8B48.tmp
      "C:\Users\Admin\AppData\Local\Temp\8B48.tmp"
      4⤵
      PID:2116
    - - C:\Users\Admin\AppData\Local\Temp\8B96.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8B96.tmp"
        5⤵
        
        PID:1412
    - - C:\Users\Admin\AppData\Local\Temp\B314.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B314.tmp"
        5⤵
        
        PID:3324
      - C:\Users\Admin\AppData\Local\Temp\B362.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B362.tmp"
        6⤵
        
        PID:4072
        
        C:\Users\Admin\AppData\Local\Temp\B3B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B3B0.tmp"
        7⤵
        
        PID:2524
        
        C:\Users\Admin\AppData\Local\Temp\B3FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B3FE.tmp"
        8⤵
        
        PID:2584
        
        C:\Users\Admin\AppData\Local\Temp\F2CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F2CC.tmp"
        8⤵
        
        PID:4960
        
        C:\Users\Admin\AppData\Local\Temp\F31A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F31A.tmp"
        9⤵
        
        PID:3980
        
        C:\Users\Admin\AppData\Local\Temp\F368.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F368.tmp"
        10⤵
        
        PID:4472
        
        C:\Users\Admin\AppData\Local\Temp\F3B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F3B6.tmp"
        11⤵
        
        PID:3692
        
        C:\Users\Admin\AppData\Local\Temp\59B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\59B9.tmp"
        11⤵
        
        PID:2312
        
        C:\Users\Admin\AppData\Local\Temp\CBFB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CBFB.tmp"
        7⤵
        
        PID:2476
        
        C:\Users\Admin\AppData\Local\Temp\CC49.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC49.tmp"
        8⤵
        
        PID:3980
        
        C:\Users\Admin\AppData\Local\Temp\CC97.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC97.tmp"
        9⤵
        
        PID:2184

C:\Users\Admin\AppData\Local\Temp\70BB.tmp
"C:\Users\Admin\AppData\Local\Temp\70BB.tmp"
1⤵
PID:1528
- C:\Users\Admin\AppData\Local\Temp\7109.tmp
  "C:\Users\Admin\AppData\Local\Temp\7109.tmp"
  2⤵
  PID:4072

C:\Users\Admin\AppData\Local\Temp\7157.tmp
"C:\Users\Admin\AppData\Local\Temp\7157.tmp"
1⤵
PID:3124
- C:\Users\Admin\AppData\Local\Temp\71A6.tmp
  "C:\Users\Admin\AppData\Local\Temp\71A6.tmp"
  2⤵
  PID:1480
- C:\Users\Admin\AppData\Local\Temp\5890.tmp
  "C:\Users\Admin\AppData\Local\Temp\5890.tmp"
  2⤵
  - Executes dropped EXE
  PID:2060

C:\Users\Admin\AppData\Local\Temp\7242.tmp
"C:\Users\Admin\AppData\Local\Temp\7242.tmp"
1⤵
PID:760
- C:\Users\Admin\AppData\Local\Temp\7290.tmp
  "C:\Users\Admin\AppData\Local\Temp\7290.tmp"
  2⤵
  PID:3556
- - C:\Users\Admin\AppData\Local\Temp\9B36.tmp
    "C:\Users\Admin\AppData\Local\Temp\9B36.tmp"
    3⤵
    PID:2088
  - - C:\Users\Admin\AppData\Local\Temp\9B84.tmp
      "C:\Users\Admin\AppData\Local\Temp\9B84.tmp"
      4⤵
      PID:2380
    - - C:\Users\Admin\AppData\Local\Temp\9BD2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9BD2.tmp"
        5⤵
        
        PID:4236

C:\Users\Admin\AppData\Local\Temp\732C.tmp
"C:\Users\Admin\AppData\Local\Temp\732C.tmp"
1⤵
PID:3304
- C:\Users\Admin\AppData\Local\Temp\737A.tmp
  "C:\Users\Admin\AppData\Local\Temp\737A.tmp"
  2⤵
  PID:2756
- - C:\Users\Admin\AppData\Local\Temp\73C8.tmp
    "C:\Users\Admin\AppData\Local\Temp\73C8.tmp"
    3⤵
    PID:1512
  - - C:\Users\Admin\AppData\Local\Temp\7426.tmp
      "C:\Users\Admin\AppData\Local\Temp\7426.tmp"
      4⤵
      PID:4900
  - - C:\Users\Admin\AppData\Local\Temp\4561.tmp
      "C:\Users\Admin\AppData\Local\Temp\4561.tmp"
      4⤵
      PID:4952
    - - C:\Users\Admin\AppData\Local\Temp\45AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\45AF.tmp"
        5⤵
        
        PID:2332
      - C:\Users\Admin\AppData\Local\Temp\45FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\45FD.tmp"
        6⤵
        
        PID:2496
        
        C:\Users\Admin\AppData\Local\Temp\464B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\464B.tmp"
        7⤵
        
        PID:1964
        
        C:\Users\Admin\AppData\Local\Temp\4699.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4699.tmp"
        8⤵
        
        PID:1400
      - C:\Users\Admin\AppData\Local\Temp\7124.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7124.tmp"
        6⤵
        
        PID:4920
        
        C:\Users\Admin\AppData\Local\Temp\7172.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7172.tmp"
        7⤵
        
        PID:1964
        
        C:\Users\Admin\AppData\Local\Temp\71C0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71C0.tmp"
        8⤵
        
        PID:3016
        
        C:\Users\Admin\AppData\Local\Temp\720E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\720E.tmp"
        9⤵
        
        PID:3060
- - C:\Users\Admin\AppData\Local\Temp\44C4.tmp
    "C:\Users\Admin\AppData\Local\Temp\44C4.tmp"
    3⤵
    PID:3520
  - - C:\Users\Admin\AppData\Local\Temp\4513.tmp
      "C:\Users\Admin\AppData\Local\Temp\4513.tmp"
      4⤵
      PID:1512
    - - C:\Users\Admin\AppData\Local\Temp\6230.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6230.tmp"
        5⤵
        
        PID:4952
      - C:\Users\Admin\AppData\Local\Temp\627E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\627E.tmp"
        6⤵
        
        PID:3564
        
        C:\Users\Admin\AppData\Local\Temp\62CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\62CC.tmp"
        7⤵
        
        PID:208

C:\Users\Admin\AppData\Local\Temp\7474.tmp
"C:\Users\Admin\AppData\Local\Temp\7474.tmp"
1⤵
PID:2448
- C:\Users\Admin\AppData\Local\Temp\74C2.tmp
  "C:\Users\Admin\AppData\Local\Temp\74C2.tmp"
  2⤵
  PID:4728
- - C:\Users\Admin\AppData\Local\Temp\7511.tmp
    "C:\Users\Admin\AppData\Local\Temp\7511.tmp"
    3⤵
    PID:2904

C:\Users\Admin\AppData\Local\Temp\755F.tmp
"C:\Users\Admin\AppData\Local\Temp\755F.tmp"
1⤵
PID:688
- C:\Users\Admin\AppData\Local\Temp\75AD.tmp
  "C:\Users\Admin\AppData\Local\Temp\75AD.tmp"
  2⤵
  PID:4944
- - C:\Users\Admin\AppData\Local\Temp\75FB.tmp
    "C:\Users\Admin\AppData\Local\Temp\75FB.tmp"
    3⤵
    PID:2588
  - - C:\Users\Admin\AppData\Local\Temp\7649.tmp
      "C:\Users\Admin\AppData\Local\Temp\7649.tmp"
      4⤵
      PID:4548
- C:\Users\Admin\AppData\Local\Temp\8378.tmp
  "C:\Users\Admin\AppData\Local\Temp\8378.tmp"
  2⤵
  PID:4944
- - C:\Users\Admin\AppData\Local\Temp\83C6.tmp
    "C:\Users\Admin\AppData\Local\Temp\83C6.tmp"
    3⤵
    PID:3064
  - - C:\Users\Admin\AppData\Local\Temp\8424.tmp
      "C:\Users\Admin\AppData\Local\Temp\8424.tmp"
      4⤵
      PID:2176
- - C:\Users\Admin\AppData\Local\Temp\D0DD.tmp
    "C:\Users\Admin\AppData\Local\Temp\D0DD.tmp"
    3⤵
    PID:688
  - - C:\Users\Admin\AppData\Local\Temp\D12B.tmp
      "C:\Users\Admin\AppData\Local\Temp\D12B.tmp"
      4⤵
      PID:4328
    - - C:\Users\Admin\AppData\Local\Temp\D179.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D179.tmp"
        5⤵
        
        PID:4064
      - C:\Users\Admin\AppData\Local\Temp\D1C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D1C7.tmp"
        6⤵
        
        PID:4052

C:\Users\Admin\AppData\Local\Temp\76E5.tmp
"C:\Users\Admin\AppData\Local\Temp\76E5.tmp"
1⤵
PID:3552
- C:\Users\Admin\AppData\Local\Temp\7724.tmp
  "C:\Users\Admin\AppData\Local\Temp\7724.tmp"
  2⤵
  PID:4604

C:\Users\Admin\AppData\Local\Temp\7772.tmp
"C:\Users\Admin\AppData\Local\Temp\7772.tmp"
1⤵
PID:3404
- C:\Users\Admin\AppData\Local\Temp\77C0.tmp
  "C:\Users\Admin\AppData\Local\Temp\77C0.tmp"
  2⤵
  PID:1884

C:\Users\Admin\AppData\Local\Temp\785C.tmp
"C:\Users\Admin\AppData\Local\Temp\785C.tmp"
1⤵
PID:4504
- C:\Users\Admin\AppData\Local\Temp\78AA.tmp
  "C:\Users\Admin\AppData\Local\Temp\78AA.tmp"
  2⤵
  PID:5108
- - C:\Users\Admin\AppData\Local\Temp\78F9.tmp
    "C:\Users\Admin\AppData\Local\Temp\78F9.tmp"
    3⤵
    PID:4144

C:\Users\Admin\AppData\Local\Temp\7947.tmp
"C:\Users\Admin\AppData\Local\Temp\7947.tmp"
1⤵
PID:592
- C:\Users\Admin\AppData\Local\Temp\7995.tmp
  "C:\Users\Admin\AppData\Local\Temp\7995.tmp"
  2⤵
  PID:3296
- - C:\Users\Admin\AppData\Local\Temp\79E3.tmp
    "C:\Users\Admin\AppData\Local\Temp\79E3.tmp"
    3⤵
    PID:2688
  - - C:\Users\Admin\AppData\Local\Temp\7A41.tmp
      "C:\Users\Admin\AppData\Local\Temp\7A41.tmp"
      4⤵
      PID:2792

C:\Users\Admin\AppData\Local\Temp\7A8F.tmp
"C:\Users\Admin\AppData\Local\Temp\7A8F.tmp"
1⤵
PID:2364
- C:\Users\Admin\AppData\Local\Temp\7AED.tmp
  "C:\Users\Admin\AppData\Local\Temp\7AED.tmp"
  2⤵
  PID:4244
- - C:\Users\Admin\AppData\Local\Temp\7B3B.tmp
    "C:\Users\Admin\AppData\Local\Temp\7B3B.tmp"
    3⤵
    PID:2200
  - - C:\Users\Admin\AppData\Local\Temp\7B89.tmp
      "C:\Users\Admin\AppData\Local\Temp\7B89.tmp"
      4⤵
      PID:3500
    - - C:\Users\Admin\AppData\Local\Temp\7BD7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7BD7.tmp"
        5⤵
        
        PID:2976
    - - C:\Users\Admin\AppData\Local\Temp\D522.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D522.tmp"
        5⤵
        
        PID:3704
      - C:\Users\Admin\AppData\Local\Temp\D570.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D570.tmp"
        6⤵
        
        PID:2940
        
        C:\Users\Admin\AppData\Local\Temp\D5BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D5BF.tmp"
        7⤵
        
        PID:4600
        
        C:\Users\Admin\AppData\Local\Temp\D60D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D60D.tmp"
        8⤵
        
        PID:2472
        
        C:\Users\Admin\AppData\Local\Temp\D65B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D65B.tmp"
        9⤵
        
        PID:1208
        
        C:\Users\Admin\AppData\Local\Temp\D6A9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D6A9.tmp"
        10⤵
        
        PID:1492
        
        C:\Users\Admin\AppData\Local\Temp\E426.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E426.tmp"
        10⤵
        
        PID:1492
        
        C:\Users\Admin\AppData\Local\Temp\E474.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E474.tmp"
        11⤵
        
        PID:2552
        
        C:\Users\Admin\AppData\Local\Temp\E4C2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E4C2.tmp"
        12⤵
        
        PID:3840
        
        C:\Users\Admin\AppData\Local\Temp\B07.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B07.tmp"
        11⤵
        
        PID:2552
        
        C:\Users\Admin\AppData\Local\Temp\B55.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B55.tmp"
        12⤵
        
        PID:5092
        
        C:\Users\Admin\AppData\Local\Temp\BA3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA3.tmp"
        13⤵
        
        PID:1688
        
        C:\Users\Admin\AppData\Local\Temp\BF2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF2.tmp"
        14⤵
        
        PID:4072
        
        C:\Users\Admin\AppData\Local\Temp\E33C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E33C.tmp"
        7⤵
        
        PID:4600
        
        C:\Users\Admin\AppData\Local\Temp\E38A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E38A.tmp"
        8⤵
        
        PID:2472
        
        C:\Users\Admin\AppData\Local\Temp\E3D8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E3D8.tmp"
        9⤵
        
        PID:1208
        
        C:\Users\Admin\AppData\Local\Temp\BD35.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BD35.tmp"
        10⤵
        
        PID:2824
        
        C:\Users\Admin\AppData\Local\Temp\95D7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\95D7.tmp"
        10⤵
        
        PID:5036

C:\Users\Admin\AppData\Local\Temp\7C25.tmp
"C:\Users\Admin\AppData\Local\Temp\7C25.tmp"
1⤵
PID:3584
- C:\Users\Admin\AppData\Local\Temp\7C73.tmp
  "C:\Users\Admin\AppData\Local\Temp\7C73.tmp"
  2⤵
  PID:3840
- - C:\Users\Admin\AppData\Local\Temp\7CC1.tmp
    "C:\Users\Admin\AppData\Local\Temp\7CC1.tmp"
    3⤵
    PID:1020
  - - C:\Users\Admin\AppData\Local\Temp\7D0F.tmp
      "C:\Users\Admin\AppData\Local\Temp\7D0F.tmp"
      4⤵
      PID:5064

C:\Users\Admin\AppData\Local\Temp\7E48.tmp
"C:\Users\Admin\AppData\Local\Temp\7E48.tmp"
1⤵
PID:2480
- C:\Users\Admin\AppData\Local\Temp\7E96.tmp
  "C:\Users\Admin\AppData\Local\Temp\7E96.tmp"
  2⤵
  PID:4456
- - C:\Users\Admin\AppData\Local\Temp\7EE4.tmp
    "C:\Users\Admin\AppData\Local\Temp\7EE4.tmp"
    3⤵
    PID:3272

C:\Users\Admin\AppData\Local\Temp\7F32.tmp
"C:\Users\Admin\AppData\Local\Temp\7F32.tmp"
1⤵
PID:2060
- C:\Users\Admin\AppData\Local\Temp\7F80.tmp
  "C:\Users\Admin\AppData\Local\Temp\7F80.tmp"
  2⤵
  PID:4428
- - C:\Users\Admin\AppData\Local\Temp\7FCF.tmp
    "C:\Users\Admin\AppData\Local\Temp\7FCF.tmp"
    3⤵
    PID:4436
  - - C:\Users\Admin\AppData\Local\Temp\801D.tmp
      "C:\Users\Admin\AppData\Local\Temp\801D.tmp"
      4⤵
      PID:5024
    - - C:\Users\Admin\AppData\Local\Temp\806B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\806B.tmp"
        5⤵
        
        PID:4920
      - C:\Users\Admin\AppData\Local\Temp\B585.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B585.tmp"
        6⤵
        
        PID:4824
        
        C:\Users\Admin\AppData\Local\Temp\B5D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B5D3.tmp"
        7⤵
        
        PID:3908
        
        C:\Users\Admin\AppData\Local\Temp\B621.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B621.tmp"
        8⤵
        
        PID:3304
        
        C:\Users\Admin\AppData\Local\Temp\B66F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B66F.tmp"
        9⤵
        
        PID:3016
        
        C:\Users\Admin\AppData\Local\Temp\E80E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E80E.tmp"
        9⤵
        
        PID:4824
        
        C:\Users\Admin\AppData\Local\Temp\E85C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E85C.tmp"
        10⤵
        
        PID:4068
        
        C:\Users\Admin\AppData\Local\Temp\E8AA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E8AA.tmp"
        11⤵
        
        PID:4756
        
        C:\Users\Admin\AppData\Local\Temp\E8F8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E8F8.tmp"
        12⤵
        
        PID:224
- C:\Users\Admin\AppData\Local\Temp\58CE.tmp
  "C:\Users\Admin\AppData\Local\Temp\58CE.tmp"
  2⤵
  PID:2184

C:\Users\Admin\AppData\Local\Temp\80B9.tmp
"C:\Users\Admin\AppData\Local\Temp\80B9.tmp"
1⤵
PID:1252
- C:\Users\Admin\AppData\Local\Temp\80F7.tmp
  "C:\Users\Admin\AppData\Local\Temp\80F7.tmp"
  2⤵
  PID:4508

C:\Users\Admin\AppData\Local\Temp\8146.tmp
"C:\Users\Admin\AppData\Local\Temp\8146.tmp"
1⤵
PID:8
- C:\Users\Admin\AppData\Local\Temp\8194.tmp
  "C:\Users\Admin\AppData\Local\Temp\8194.tmp"
  2⤵
  PID:3016
- - C:\Users\Admin\AppData\Local\Temp\81E2.tmp
    "C:\Users\Admin\AppData\Local\Temp\81E2.tmp"
    3⤵
    PID:2516
  - - C:\Users\Admin\AppData\Local\Temp\8230.tmp
      "C:\Users\Admin\AppData\Local\Temp\8230.tmp"
      4⤵
      PID:4660
- - C:\Users\Admin\AppData\Local\Temp\B6BD.tmp
    "C:\Users\Admin\AppData\Local\Temp\B6BD.tmp"
    3⤵
    PID:2964
  - - C:\Users\Admin\AppData\Local\Temp\B70B.tmp
      "C:\Users\Admin\AppData\Local\Temp\B70B.tmp"
      4⤵
      PID:3000
    - - C:\Users\Admin\AppData\Local\Temp\B759.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B759.tmp"
        5⤵
        
        PID:1752
      - C:\Users\Admin\AppData\Local\Temp\B7A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B7A7.tmp"
        6⤵
        
        PID:3724
        
        C:\Users\Admin\AppData\Local\Temp\688D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\688D.tmp"
        7⤵
        
        PID:3868
      - C:\Users\Admin\AppData\Local\Temp\C3BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C3BD.tmp"
        6⤵
        
        PID:3448
        
        C:\Users\Admin\AppData\Local\Temp\C40B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C40B.tmp"
        7⤵
        
        PID:4328
        
        C:\Users\Admin\AppData\Local\Temp\C459.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C459.tmp"
        8⤵
        
        PID:4064
        
        C:\Users\Admin\AppData\Local\Temp\C4A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C4A8.tmp"
        9⤵
        
        PID:4052
        
        C:\Users\Admin\AppData\Local\Temp\D215.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D215.tmp"
        10⤵
        
        PID:1060
        
        C:\Users\Admin\AppData\Local\Temp\D263.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D263.tmp"
        11⤵
        
        PID:736
        
        C:\Users\Admin\AppData\Local\Temp\D2B1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2B1.tmp"
        12⤵
        
        PID:3776
        
        C:\Users\Admin\AppData\Local\Temp\64FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\64FE.tmp"
        13⤵
        
        PID:3508
        
        C:\Users\Admin\AppData\Local\Temp\654D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\654D.tmp"
        14⤵
        
        PID:1060
        
        C:\Users\Admin\AppData\Local\Temp\659B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\659B.tmp"
        15⤵
        
        PID:4052
        
        C:\Users\Admin\AppData\Local\Temp\65E9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\65E9.tmp"
        16⤵
        
        PID:2520
        
        C:\Users\Admin\AppData\Local\Temp\6637.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6637.tmp"
        17⤵
        
        PID:3664
        
        C:\Users\Admin\AppData\Local\Temp\6685.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6685.tmp"
        18⤵
        
        PID:1436
        
        C:\Users\Admin\AppData\Local\Temp\7431.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7431.tmp"
        14⤵
        
        PID:1060
        
        C:\Users\Admin\AppData\Local\Temp\747F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\747F.tmp"
        15⤵
        
        PID:980
        
        C:\Users\Admin\AppData\Local\Temp\74CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\74CD.tmp"
        16⤵
        
        PID:540
        
        C:\Users\Admin\AppData\Local\Temp\751B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\751B.tmp"
        17⤵
        
        PID:3556
        
        C:\Users\Admin\AppData\Local\Temp\756A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\756A.tmp"
        18⤵
        
        PID:4552
        
        C:\Users\Admin\AppData\Local\Temp\75B8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\75B8.tmp"
        19⤵
        
        PID:4536

C:\Users\Admin\AppData\Local\Temp\827E.tmp
"C:\Users\Admin\AppData\Local\Temp\827E.tmp"
1⤵
PID:4728
- C:\Users\Admin\AppData\Local\Temp\82DC.tmp
  "C:\Users\Admin\AppData\Local\Temp\82DC.tmp"
  2⤵
  PID:2904
- - C:\Users\Admin\AppData\Local\Temp\832A.tmp
    "C:\Users\Admin\AppData\Local\Temp\832A.tmp"
    3⤵
    PID:688

C:\Users\Admin\AppData\Local\Temp\8472.tmp
"C:\Users\Admin\AppData\Local\Temp\8472.tmp"
1⤵
PID:1632
- C:\Users\Admin\AppData\Local\Temp\84C0.tmp
  "C:\Users\Admin\AppData\Local\Temp\84C0.tmp"
  2⤵
  PID:60
- - C:\Users\Admin\AppData\Local\Temp\850E.tmp
    "C:\Users\Admin\AppData\Local\Temp\850E.tmp"
    3⤵
    PID:4048

C:\Users\Admin\AppData\Local\Temp\855C.tmp
"C:\Users\Admin\AppData\Local\Temp\855C.tmp"
1⤵
PID:1340
- C:\Users\Admin\AppData\Local\Temp\85AB.tmp
  "C:\Users\Admin\AppData\Local\Temp\85AB.tmp"
  2⤵
  PID:4832
- - C:\Users\Admin\AppData\Local\Temp\85F9.tmp
    "C:\Users\Admin\AppData\Local\Temp\85F9.tmp"
    3⤵
    PID:2188

C:\Users\Admin\AppData\Local\Temp\8925.tmp
"C:\Users\Admin\AppData\Local\Temp\8925.tmp"
1⤵
PID:1056
- C:\Users\Admin\AppData\Local\Temp\8973.tmp
  "C:\Users\Admin\AppData\Local\Temp\8973.tmp"
  2⤵
  PID:1716
- - C:\Users\Admin\AppData\Local\Temp\89C1.tmp
    "C:\Users\Admin\AppData\Local\Temp\89C1.tmp"
    3⤵
    PID:1244
  - - C:\Users\Admin\AppData\Local\Temp\8A10.tmp
      "C:\Users\Admin\AppData\Local\Temp\8A10.tmp"
      4⤵
      PID:4348
    - - C:\Users\Admin\AppData\Local\Temp\A596.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A596.tmp"
        5⤵
        
        PID:1296
      - C:\Users\Admin\AppData\Local\Temp\A5E5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A5E5.tmp"
        6⤵
        
        PID:4576
- C:\Users\Admin\AppData\Local\Temp\A45E.tmp
  "C:\Users\Admin\AppData\Local\Temp\A45E.tmp"
  2⤵
  PID:1492
- - C:\Users\Admin\AppData\Local\Temp\A4AC.tmp
    "C:\Users\Admin\AppData\Local\Temp\A4AC.tmp"
    3⤵
    PID:4592
  - - C:\Users\Admin\AppData\Local\Temp\A4FA.tmp
      "C:\Users\Admin\AppData\Local\Temp\A4FA.tmp"
      4⤵
      PID:4128
- - C:\Users\Admin\AppData\Local\Temp\D6F7.tmp
    "C:\Users\Admin\AppData\Local\Temp\D6F7.tmp"
    3⤵
    PID:2552
  - - C:\Users\Admin\AppData\Local\Temp\D745.tmp
      "C:\Users\Admin\AppData\Local\Temp\D745.tmp"
      4⤵
      PID:3840
    - - C:\Users\Admin\AppData\Local\Temp\D793.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D793.tmp"
        5⤵
        
        PID:2864
      - C:\Users\Admin\AppData\Local\Temp\D7E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D7E1.tmp"
        6⤵
        
        PID:2740
        
        C:\Users\Admin\AppData\Local\Temp\D830.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D830.tmp"
        7⤵
        
        PID:1820
        
        C:\Users\Admin\AppData\Local\Temp\D87E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D87E.tmp"
        8⤵
        
        PID:4392
        
        C:\Users\Admin\AppData\Local\Temp\D8EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D8EB.tmp"
        9⤵
        
        PID:1528
        
        C:\Users\Admin\AppData\Local\Temp\D92A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D92A.tmp"
        10⤵
        
        PID:2584
        
        C:\Users\Admin\AppData\Local\Temp\D978.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D978.tmp"
        11⤵
        
        PID:4740
        
        C:\Users\Admin\AppData\Local\Temp\57D4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\57D4.tmp"
        10⤵
        
        PID:4072
        
        C:\Users\Admin\AppData\Local\Temp\C40.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C40.tmp"
        11⤵
        
        PID:4580
        
        C:\Users\Admin\AppData\Local\Temp\C8E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C8E.tmp"
        12⤵
        
        PID:3436
        
        C:\Users\Admin\AppData\Local\Temp\CDC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDC.tmp"
        13⤵
        
        PID:760
        
        C:\Users\Admin\AppData\Local\Temp\D2A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2A.tmp"
        14⤵
        
        PID:5080
        
        C:\Users\Admin\AppData\Local\Temp\6DC8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6DC8.tmp"
        14⤵
        
        PID:4580
        
        C:\Users\Admin\AppData\Local\Temp\6E17.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E17.tmp"
        15⤵
        
        PID:2940
        
        C:\Users\Admin\AppData\Local\Temp\6E65.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E65.tmp"
        16⤵
        
        PID:3980
        
        C:\Users\Admin\AppData\Local\Temp\6EB3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6EB3.tmp"
        17⤵
        
        PID:3972
        
        C:\Users\Admin\AppData\Local\Temp\8A88.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A88.tmp"
        15⤵
        
        PID:1244
        
        C:\Users\Admin\AppData\Local\Temp\8AD6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8AD6.tmp"
        16⤵
        
        PID:4104
        
        C:\Users\Admin\AppData\Local\Temp\3524.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3524.tmp"
        12⤵
        
        PID:3436
        
        C:\Users\Admin\AppData\Local\Temp\3573.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3573.tmp"
        13⤵
        
        PID:5080
        
        C:\Users\Admin\AppData\Local\Temp\35C1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\35C1.tmp"
        14⤵
        
        PID:3692
        
        C:\Users\Admin\AppData\Local\Temp\360F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\360F.tmp"
        15⤵
        
        PID:1832
    - - C:\Users\Admin\AppData\Local\Temp\E510.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E510.tmp"
        5⤵
        
        PID:2116
      - C:\Users\Admin\AppData\Local\Temp\E55F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E55F.tmp"
        6⤵
        
        PID:3892
        
        C:\Users\Admin\AppData\Local\Temp\E5AD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E5AD.tmp"
        7⤵
        
        PID:1480
        
        C:\Users\Admin\AppData\Local\Temp\E5FB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E5FB.tmp"
        8⤵
        
        PID:4432
        
        C:\Users\Admin\AppData\Local\Temp\FF6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF6E.tmp"
        7⤵
        
        PID:1480
        
        C:\Users\Admin\AppData\Local\Temp\FFBD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FFBD.tmp"
        8⤵
        
        PID:4432
        
        C:\Users\Admin\AppData\Local\Temp\B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B.tmp"
        9⤵
        
        PID:4740
        
        C:\Users\Admin\AppData\Local\Temp\68.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\68.tmp"
        10⤵
        
        PID:2184
        
        C:\Users\Admin\AppData\Local\Temp\B7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B7.tmp"
        11⤵
        
        PID:1248
        
        C:\Users\Admin\AppData\Local\Temp\596A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\596A.tmp"
        12⤵
        Executes dropped EXE
        
        PID:4472
        
        C:\Users\Admin\AppData\Local\Temp\27A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\27A7.tmp"
        12⤵
        
        PID:1636
        
        C:\Users\Admin\AppData\Local\Temp\27F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\27F5.tmp"
        13⤵
        
        PID:1452
        
        C:\Users\Admin\AppData\Local\Temp\2844.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2844.tmp"
        14⤵
        
        PID:556
        
        C:\Users\Admin\AppData\Local\Temp\7E05.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E05.tmp"
        13⤵
        
        PID:2448
        
        C:\Users\Admin\AppData\Local\Temp\661C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\661C.tmp"
        9⤵
        
        PID:1604
        
        C:\Users\Admin\AppData\Local\Temp\1EF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1EF.tmp"
        10⤵
        
        PID:2980
        
        C:\Users\Admin\AppData\Local\Temp\23D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\23D.tmp"
        11⤵
        
        PID:2800
        
        C:\Users\Admin\AppData\Local\Temp\28B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\28B.tmp"
        12⤵
        
        PID:4260
        
        C:\Users\Admin\AppData\Local\Temp\2D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2D9.tmp"
        13⤵
        
        PID:2444
        
        C:\Users\Admin\AppData\Local\Temp\328.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\328.tmp"
        14⤵
        
        PID:2332
        
        C:\Users\Admin\AppData\Local\Temp\376.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\376.tmp"
        15⤵
        
        PID:404
        
        C:\Users\Admin\AppData\Local\Temp\3C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C4.tmp"
        16⤵
        
        PID:2496
        
        C:\Users\Admin\AppData\Local\Temp\7FD9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7FD9.tmp"
        16⤵
        
        PID:2084
        
        C:\Users\Admin\AppData\Local\Temp\8028.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8028.tmp"
        17⤵
        
        PID:1320
        
        C:\Users\Admin\AppData\Local\Temp\8076.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8076.tmp"
        18⤵
        
        PID:3088
        
        C:\Users\Admin\AppData\Local\Temp\71F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71F4.tmp"
        8⤵
        
        PID:368

C:\Users\Admin\AppData\Local\Temp\8A5E.tmp
"C:\Users\Admin\AppData\Local\Temp\8A5E.tmp"
1⤵
PID:3840
- C:\Users\Admin\AppData\Local\Temp\8AAC.tmp
  "C:\Users\Admin\AppData\Local\Temp\8AAC.tmp"
  2⤵
  PID:3012

C:\Users\Admin\AppData\Local\Temp\8BE4.tmp
"C:\Users\Admin\AppData\Local\Temp\8BE4.tmp"
1⤵
PID:1628
- C:\Users\Admin\AppData\Local\Temp\8C32.tmp
  "C:\Users\Admin\AppData\Local\Temp\8C32.tmp"
  2⤵
  PID:1160
- - C:\Users\Admin\AppData\Local\Temp\8C81.tmp
    "C:\Users\Admin\AppData\Local\Temp\8C81.tmp"
    3⤵
    PID:1480
  - - C:\Users\Admin\AppData\Local\Temp\8CCF.tmp
      "C:\Users\Admin\AppData\Local\Temp\8CCF.tmp"
      4⤵
      PID:368
    - - C:\Users\Admin\AppData\Local\Temp\C091.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C091.tmp"
        5⤵
        
        PID:4220
      - C:\Users\Admin\AppData\Local\Temp\C0DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C0DF.tmp"
        6⤵
        
        PID:4428
        
        C:\Users\Admin\AppData\Local\Temp\C11D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C11D.tmp"
        7⤵
        
        PID:2312
        
        C:\Users\Admin\AppData\Local\Temp\E724.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E724.tmp"
        7⤵
        
        PID:2312
        
        C:\Users\Admin\AppData\Local\Temp\E772.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E772.tmp"
        8⤵
        
        PID:4508
        
        C:\Users\Admin\AppData\Local\Temp\E7C0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E7C0.tmp"
        9⤵
        
        PID:3304
        
        C:\Users\Admin\AppData\Local\Temp\EB1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB1.tmp"
        10⤵
        
        PID:348
        
        C:\Users\Admin\AppData\Local\Temp\EFF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFF.tmp"
        11⤵
        
        PID:1252
        
        C:\Users\Admin\AppData\Local\Temp\3795.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3795.tmp"
        12⤵
        
        PID:2444
        
        C:\Users\Admin\AppData\Local\Temp\37E4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\37E4.tmp"
        13⤵
        
        PID:4660
        
        C:\Users\Admin\AppData\Local\Temp\3832.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3832.tmp"
        14⤵
        
        PID:1964

C:\Users\Admin\AppData\Local\Temp\8D1D.tmp
"C:\Users\Admin\AppData\Local\Temp\8D1D.tmp"
1⤵
PID:760
- C:\Users\Admin\AppData\Local\Temp\8D6B.tmp
  "C:\Users\Admin\AppData\Local\Temp\8D6B.tmp"
  2⤵
  PID:1248
- - C:\Users\Admin\AppData\Local\Temp\8DB9.tmp
    "C:\Users\Admin\AppData\Local\Temp\8DB9.tmp"
    3⤵
    PID:1604
  - - C:\Users\Admin\AppData\Local\Temp\8E07.tmp
      "C:\Users\Admin\AppData\Local\Temp\8E07.tmp"
      4⤵
      PID:4544
- C:\Users\Admin\AppData\Local\Temp\9A9A.tmp
  "C:\Users\Admin\AppData\Local\Temp\9A9A.tmp"
  2⤵
  PID:4476
- - C:\Users\Admin\AppData\Local\Temp\9AE8.tmp
    "C:\Users\Admin\AppData\Local\Temp\9AE8.tmp"
    3⤵
    PID:3556

C:\Users\Admin\AppData\Local\Temp\8E55.tmp
"C:\Users\Admin\AppData\Local\Temp\8E55.tmp"
1⤵
PID:1700
- C:\Users\Admin\AppData\Local\Temp\DB4C.tmp
  "C:\Users\Admin\AppData\Local\Temp\DB4C.tmp"
  2⤵
  PID:2980
- - C:\Users\Admin\AppData\Local\Temp\DB9B.tmp
    "C:\Users\Admin\AppData\Local\Temp\DB9B.tmp"
    3⤵
    PID:2800
  - - C:\Users\Admin\AppData\Local\Temp\DBE9.tmp
      "C:\Users\Admin\AppData\Local\Temp\DBE9.tmp"
      4⤵
      PID:1928

C:\Users\Admin\AppData\Local\Temp\93A5.tmp
"C:\Users\Admin\AppData\Local\Temp\93A5.tmp"
1⤵
PID:1600
- C:\Users\Admin\AppData\Local\Temp\93F3.tmp
  "C:\Users\Admin\AppData\Local\Temp\93F3.tmp"
  2⤵
  PID:1424
- - C:\Users\Admin\AppData\Local\Temp\9441.tmp
    "C:\Users\Admin\AppData\Local\Temp\9441.tmp"
    3⤵
    PID:1892
  - - C:\Users\Admin\AppData\Local\Temp\948F.tmp
      "C:\Users\Admin\AppData\Local\Temp\948F.tmp"
      4⤵
      PID:2460
    - - C:\Users\Admin\AppData\Local\Temp\94DD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\94DD.tmp"
        5⤵
        
        PID:1468

C:\Users\Admin\AppData\Local\Temp\952B.tmp
"C:\Users\Admin\AppData\Local\Temp\952B.tmp"
1⤵
PID:1360
- C:\Users\Admin\AppData\Local\Temp\9589.tmp
  "C:\Users\Admin\AppData\Local\Temp\9589.tmp"
  2⤵
  PID:1208

C:\Users\Admin\AppData\Local\Temp\9625.tmp
"C:\Users\Admin\AppData\Local\Temp\9625.tmp"
1⤵
PID:1492
- C:\Users\Admin\AppData\Local\Temp\9673.tmp
  "C:\Users\Admin\AppData\Local\Temp\9673.tmp"
  2⤵
  PID:1940
- - C:\Users\Admin\AppData\Local\Temp\96C2.tmp
    "C:\Users\Admin\AppData\Local\Temp\96C2.tmp"
    3⤵
    PID:3832
  - - C:\Users\Admin\AppData\Local\Temp\8F4.tmp
      "C:\Users\Admin\AppData\Local\Temp\8F4.tmp"
      4⤵
      PID:1244
    - - C:\Users\Admin\AppData\Local\Temp\952.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\952.tmp"
        5⤵
        
        PID:5036
      - C:\Users\Admin\AppData\Local\Temp\990.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\990.tmp"
        6⤵
        
        PID:4480
        
        C:\Users\Admin\AppData\Local\Temp\9DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9DE.tmp"
        7⤵
        
        PID:4224

C:\Users\Admin\AppData\Local\Temp\9710.tmp
"C:\Users\Admin\AppData\Local\Temp\9710.tmp"
1⤵
PID:2848
- C:\Users\Admin\AppData\Local\Temp\975E.tmp
  "C:\Users\Admin\AppData\Local\Temp\975E.tmp"
  2⤵
  PID:4264

C:\Users\Admin\AppData\Local\Temp\97AC.tmp
"C:\Users\Admin\AppData\Local\Temp\97AC.tmp"
1⤵
PID:4000
- C:\Users\Admin\AppData\Local\Temp\97FA.tmp
  "C:\Users\Admin\AppData\Local\Temp\97FA.tmp"
  2⤵
  PID:1864
- - C:\Users\Admin\AppData\Local\Temp\9848.tmp
    "C:\Users\Admin\AppData\Local\Temp\9848.tmp"
    3⤵
    PID:2488
  - - C:\Users\Admin\AppData\Local\Temp\9896.tmp
      "C:\Users\Admin\AppData\Local\Temp\9896.tmp"
      4⤵
      PID:2712
    - - C:\Users\Admin\AppData\Local\Temp\7A4C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A4C.tmp"
        5⤵
        
        PID:2116
      - C:\Users\Admin\AppData\Local\Temp\7AA9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7AA9.tmp"
        6⤵
        
        PID:2864
        
        C:\Users\Admin\AppData\Local\Temp\7AF7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7AF7.tmp"
        7⤵
        
        PID:1480
        
        C:\Users\Admin\AppData\Local\Temp\7B46.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B46.tmp"
        8⤵
        
        PID:3012
        
        C:\Users\Admin\AppData\Local\Temp\7B94.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B94.tmp"
        9⤵
        
        PID:3892
        
        C:\Users\Admin\AppData\Local\Temp\7BE2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7BE2.tmp"
        10⤵
        
        PID:3284
        
        C:\Users\Admin\AppData\Local\Temp\7C30.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C30.tmp"
        11⤵
        
        PID:1056
        
        C:\Users\Admin\AppData\Local\Temp\7C7E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C7E.tmp"
        12⤵
        
        PID:4332
- - C:\Users\Admin\AppData\Local\Temp\BEBC.tmp
    "C:\Users\Admin\AppData\Local\Temp\BEBC.tmp"
    3⤵
    PID:2328
  - - C:\Users\Admin\AppData\Local\Temp\BF0A.tmp
      "C:\Users\Admin\AppData\Local\Temp\BF0A.tmp"
      4⤵
      PID:2480
    - - C:\Users\Admin\AppData\Local\Temp\BF58.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF58.tmp"
        5⤵
        
        PID:4424

C:\Users\Admin\AppData\Local\Temp\99BF.tmp
"C:\Users\Admin\AppData\Local\Temp\99BF.tmp"
1⤵
PID:3904
- C:\Users\Admin\AppData\Local\Temp\9A0D.tmp
  "C:\Users\Admin\AppData\Local\Temp\9A0D.tmp"
  2⤵
  PID:2320
- - C:\Users\Admin\AppData\Local\Temp\9A5B.tmp
    "C:\Users\Admin\AppData\Local\Temp\9A5B.tmp"
    3⤵
    PID:760
  - - C:\Users\Admin\AppData\Local\Temp\A940.tmp
      "C:\Users\Admin\AppData\Local\Temp\A940.tmp"
      4⤵
      PID:1236
    - - C:\Users\Admin\AppData\Local\Temp\A98E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A98E.tmp"
        5⤵
        
        PID:3304
      - C:\Users\Admin\AppData\Local\Temp\A9DC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A9DC.tmp"
        6⤵
        
        PID:1832
        
        C:\Users\Admin\AppData\Local\Temp\AA2A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AA2A.tmp"
        7⤵
        
        PID:2800

C:\Users\Admin\AppData\Local\Temp\9C21.tmp
"C:\Users\Admin\AppData\Local\Temp\9C21.tmp"
1⤵
PID:2964

C:\Users\Admin\AppData\Local\Temp\A0B4.tmp
"C:\Users\Admin\AppData\Local\Temp\A0B4.tmp"
1⤵
PID:4480
- C:\Users\Admin\AppData\Local\Temp\A103.tmp
  "C:\Users\Admin\AppData\Local\Temp\A103.tmp"
  2⤵
  PID:2180
- - C:\Users\Admin\AppData\Local\Temp\CA26.tmp
    "C:\Users\Admin\AppData\Local\Temp\CA26.tmp"
    3⤵
    PID:1520
  - - C:\Users\Admin\AppData\Local\Temp\CA74.tmp
      "C:\Users\Admin\AppData\Local\Temp\CA74.tmp"
      4⤵
      PID:4128
    - - C:\Users\Admin\AppData\Local\Temp\CAC2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CAC2.tmp"
        5⤵
        
        PID:3012
      - C:\Users\Admin\AppData\Local\Temp\CB10.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CB10.tmp"
        6⤵
        
        PID:1748
      - C:\Users\Admin\AppData\Local\Temp\FED2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FED2.tmp"
        6⤵
        
        PID:2116
        
        C:\Users\Admin\AppData\Local\Temp\FF20.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF20.tmp"
        7⤵
        
        PID:3892
    - - C:\Users\Admin\AppData\Local\Temp\A548.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A548.tmp"
        5⤵
        
        PID:4348
  - - C:\Users\Admin\AppData\Local\Temp\872C.tmp
      "C:\Users\Admin\AppData\Local\Temp\872C.tmp"
      4⤵
      PID:3124
    - - C:\Users\Admin\AppData\Local\Temp\877B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\877B.tmp"
        5⤵
        
        PID:2104
      - C:\Users\Admin\AppData\Local\Temp\87C9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\87C9.tmp"
        6⤵
        
        PID:4600

C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\servicing\TrustedInstaller.exe
1⤵
- Executes dropped EXE
PID:2188

C:\Users\Admin\AppData\Local\Temp\A19F.tmp
"C:\Users\Admin\AppData\Local\Temp\A19F.tmp"
1⤵
PID:2460
- C:\Users\Admin\AppData\Local\Temp\A1ED.tmp
  "C:\Users\Admin\AppData\Local\Temp\A1ED.tmp"
  2⤵
  PID:1468
- - C:\Users\Admin\AppData\Local\Temp\A23B.tmp
    "C:\Users\Admin\AppData\Local\Temp\A23B.tmp"
    3⤵
    PID:4520
- C:\Users\Admin\AppData\Local\Temp\D39C.tmp
  "C:\Users\Admin\AppData\Local\Temp\D39C.tmp"
  2⤵
  PID:1768
- - C:\Users\Admin\AppData\Local\Temp\D3EA.tmp
    "C:\Users\Admin\AppData\Local\Temp\D3EA.tmp"
    3⤵
    PID:3696
  - - C:\Users\Admin\AppData\Local\Temp\D438.tmp
      "C:\Users\Admin\AppData\Local\Temp\D438.tmp"
      4⤵
      PID:4504
    - - C:\Users\Admin\AppData\Local\Temp\D486.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D486.tmp"
        5⤵
        
        PID:1972
      - C:\Users\Admin\AppData\Local\Temp\D4D4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D4D4.tmp"
        6⤵
        
        PID:3500
    - - C:\Users\Admin\AppData\Local\Temp\E203.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E203.tmp"
        5⤵
        
        PID:2820
      - C:\Users\Admin\AppData\Local\Temp\E251.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E251.tmp"
        6⤵
        
        PID:3500
        
        C:\Users\Admin\AppData\Local\Temp\E29F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E29F.tmp"
        7⤵
        
        PID:3704
        
        C:\Users\Admin\AppData\Local\Temp\E2EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E2EE.tmp"
        8⤵
        
        PID:2940
      - C:\Users\Admin\AppData\Local\Temp\22D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\22D5.tmp"
        6⤵
        
        PID:3500
        
        C:\Users\Admin\AppData\Local\Temp\2323.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2323.tmp"
        7⤵
        
        PID:868
        
        C:\Users\Admin\AppData\Local\Temp\2371.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2371.tmp"
        8⤵
        
        PID:2940
        
        C:\Users\Admin\AppData\Local\Temp\23BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\23BF.tmp"
        9⤵
        
        PID:4600
        
        C:\Users\Admin\AppData\Local\Temp\240D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\240D.tmp"
        10⤵
        
        PID:5036
        
        C:\Users\Admin\AppData\Local\Temp\245C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\245C.tmp"
        11⤵
        
        PID:3708
        
        C:\Users\Admin\AppData\Local\Temp\3265.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3265.tmp"
        12⤵
        
        PID:1064
        
        C:\Users\Admin\AppData\Local\Temp\32B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\32B3.tmp"
        13⤵
        
        PID:2328
        
        C:\Users\Admin\AppData\Local\Temp\3302.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3302.tmp"
        14⤵
        
        PID:2036
        
        C:\Users\Admin\AppData\Local\Temp\3350.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3350.tmp"
        15⤵
        
        PID:2992
        
        C:\Users\Admin\AppData\Local\Temp\5138.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5138.tmp"
        9⤵
        
        PID:4220
        
        C:\Users\Admin\AppData\Local\Temp\5186.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5186.tmp"
        10⤵
        
        PID:2088
        
        C:\Users\Admin\AppData\Local\Temp\51D4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\51D4.tmp"
        11⤵
        
        PID:2576
        
        C:\Users\Admin\AppData\Local\Temp\5222.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5222.tmp"
        12⤵
        
        PID:1700
        
        C:\Users\Admin\AppData\Local\Temp\5280.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5280.tmp"
        13⤵
        
        PID:4236
        
        C:\Users\Admin\AppData\Local\Temp\60A9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\60A9.tmp"
        11⤵
        
        PID:3908
        
        C:\Users\Admin\AppData\Local\Temp\60F7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\60F7.tmp"
        12⤵
        
        PID:880
        
        C:\Users\Admin\AppData\Local\Temp\6145.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6145.tmp"
        13⤵
        
        PID:3304
        
        C:\Users\Admin\AppData\Local\Temp\6193.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6193.tmp"
        14⤵
        
        PID:348
        
        C:\Users\Admin\AppData\Local\Temp\61E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\61E2.tmp"
        15⤵
        
        PID:1512
        
        C:\Users\Admin\AppData\Local\Temp\7EA1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7EA1.tmp"
        13⤵
        Executes dropped EXE
        
        PID:4072
        
        C:\Users\Admin\AppData\Local\Temp\7EEF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7EEF.tmp"
        14⤵
        
        PID:2444
        
        C:\Users\Admin\AppData\Local\Temp\7F3D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7F3D.tmp"
        15⤵
        
        PID:4868

C:\Users\Admin\AppData\Local\Temp\A289.tmp
"C:\Users\Admin\AppData\Local\Temp\A289.tmp"
1⤵
PID:2988
- C:\Users\Admin\AppData\Local\Temp\A2D7.tmp
  "C:\Users\Admin\AppData\Local\Temp\A2D7.tmp"
  2⤵
  PID:3916
- - C:\Users\Admin\AppData\Local\Temp\A325.tmp
    "C:\Users\Admin\AppData\Local\Temp\A325.tmp"
    3⤵
    PID:3716
  - - C:\Users\Admin\AppData\Local\Temp\A374.tmp
      "C:\Users\Admin\AppData\Local\Temp\A374.tmp"
      4⤵
      PID:1360
    - - C:\Users\Admin\AppData\Local\Temp\A3C2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A3C2.tmp"
        5⤵
        
        PID:1064
      - C:\Users\Admin\AppData\Local\Temp\A410.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A410.tmp"
        6⤵
        
        PID:1056
      - C:\Users\Admin\AppData\Local\Temp\FD9A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FD9A.tmp"
        6⤵
        
        PID:4592
        
        C:\Users\Admin\AppData\Local\Temp\FDE8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FDE8.tmp"
        7⤵
        
        PID:3228
        
        C:\Users\Admin\AppData\Local\Temp\FE36.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE36.tmp"
        8⤵
        
        PID:4996
        
        C:\Users\Admin\AppData\Local\Temp\FE84.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE84.tmp"
        9⤵
        
        PID:3012
        
        C:\Users\Admin\AppData\Local\Temp\56EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\56EA.tmp"
        10⤵
        Executes dropped EXE
        
        PID:4460

C:\Users\Admin\AppData\Local\Temp\A633.tmp
"C:\Users\Admin\AppData\Local\Temp\A633.tmp"
1⤵
PID:2228
- C:\Users\Admin\AppData\Local\Temp\A681.tmp
  "C:\Users\Admin\AppData\Local\Temp\A681.tmp"
  2⤵
  PID:4408
- - C:\Users\Admin\AppData\Local\Temp\A6CF.tmp
    "C:\Users\Admin\AppData\Local\Temp\A6CF.tmp"
    3⤵
    PID:4392
  - - C:\Users\Admin\AppData\Local\Temp\A71D.tmp
      "C:\Users\Admin\AppData\Local\Temp\A71D.tmp"
      4⤵
      PID:1628
    - - C:\Users\Admin\AppData\Local\Temp\A76B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A76B.tmp"
        5⤵
        
        PID:1528

C:\Users\Admin\AppData\Local\Temp\AA78.tmp
"C:\Users\Admin\AppData\Local\Temp\AA78.tmp"
1⤵
PID:4236
- C:\Users\Admin\AppData\Local\Temp\AAC7.tmp
  "C:\Users\Admin\AppData\Local\Temp\AAC7.tmp"
  2⤵
  PID:1752
- - C:\Users\Admin\AppData\Local\Temp\AB24.tmp
    "C:\Users\Admin\AppData\Local\Temp\AB24.tmp"
    3⤵
    PID:4952
  - - C:\Users\Admin\AppData\Local\Temp\AB72.tmp
      "C:\Users\Admin\AppData\Local\Temp\AB72.tmp"
      4⤵
      PID:1320

C:\Users\Admin\AppData\Local\Temp\ABC1.tmp
"C:\Users\Admin\AppData\Local\Temp\ABC1.tmp"
1⤵
PID:2904
- C:\Users\Admin\AppData\Local\Temp\AC0F.tmp
  "C:\Users\Admin\AppData\Local\Temp\AC0F.tmp"
  2⤵
  PID:1992
- - C:\Users\Admin\AppData\Local\Temp\AC5D.tmp
    "C:\Users\Admin\AppData\Local\Temp\AC5D.tmp"
    3⤵
    PID:2376
  - - C:\Users\Admin\AppData\Local\Temp\ACAB.tmp
      "C:\Users\Admin\AppData\Local\Temp\ACAB.tmp"
      4⤵
      PID:2612

C:\Users\Admin\AppData\Local\Temp\ACF9.tmp
"C:\Users\Admin\AppData\Local\Temp\ACF9.tmp"
1⤵
PID:3044
- C:\Users\Admin\AppData\Local\Temp\AD47.tmp
  "C:\Users\Admin\AppData\Local\Temp\AD47.tmp"
  2⤵
  PID:4832
- - C:\Users\Admin\AppData\Local\Temp\AD95.tmp
    "C:\Users\Admin\AppData\Local\Temp\AD95.tmp"
    3⤵
    PID:3772
  - - C:\Users\Admin\AppData\Local\Temp\ADE3.tmp
      "C:\Users\Admin\AppData\Local\Temp\ADE3.tmp"
      4⤵
      PID:1916
    - - C:\Users\Admin\AppData\Local\Temp\AE32.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AE32.tmp"
        5⤵
        
        PID:4120
    - - C:\Users\Admin\AppData\Local\Temp\F992.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F992.tmp"
        5⤵
        
        PID:4120
      - C:\Users\Admin\AppData\Local\Temp\F9E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9E1.tmp"
        6⤵
        
        PID:1776
        
        C:\Users\Admin\AppData\Local\Temp\FA2F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA2F.tmp"
        7⤵
        
        PID:2696
        
        C:\Users\Admin\AppData\Local\Temp\FA7D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA7D.tmp"
        8⤵
        
        PID:2460
        
        C:\Users\Admin\AppData\Local\Temp\FACB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FACB.tmp"
        9⤵
        
        PID:1768
      - C:\Users\Admin\AppData\Local\Temp\AE80.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AE80.tmp"
        6⤵
        
        PID:3592
        
        C:\Users\Admin\AppData\Local\Temp\589B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\589B.tmp"
        7⤵
        
        PID:3160
        
        C:\Users\Admin\AppData\Local\Temp\58E9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\58E9.tmp"
        8⤵
        
        PID:3612
        
        C:\Users\Admin\AppData\Local\Temp\5937.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5937.tmp"
        9⤵
        
        PID:956
        
        C:\Users\Admin\AppData\Local\Temp\5985.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5985.tmp"
        10⤵
        
        PID:4448
        
        C:\Users\Admin\AppData\Local\Temp\845E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\845E.tmp"
        10⤵
        
        PID:4448
        
        C:\Users\Admin\AppData\Local\Temp\84AC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\84AC.tmp"
        11⤵
        
        PID:1972
        
        C:\Users\Admin\AppData\Local\Temp\84FA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\84FA.tmp"
        12⤵
        
        PID:4940
        
        C:\Users\Admin\AppData\Local\Temp\8558.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8558.tmp"
        13⤵
        
        PID:3128
  - - C:\Users\Admin\AppData\Local\Temp\899D.tmp
      "C:\Users\Admin\AppData\Local\Temp\899D.tmp"
      4⤵
      PID:3904
    - - C:\Users\Admin\AppData\Local\Temp\89EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\89EC.tmp"
        5⤵
        
        PID:760

C:\Users\Admin\AppData\Local\Temp\AFB8.tmp
"C:\Users\Admin\AppData\Local\Temp\AFB8.tmp"
1⤵
PID:1048
- C:\Users\Admin\AppData\Local\Temp\B006.tmp
  "C:\Users\Admin\AppData\Local\Temp\B006.tmp"
  2⤵
  PID:1868
- - C:\Users\Admin\AppData\Local\Temp\B054.tmp
    "C:\Users\Admin\AppData\Local\Temp\B054.tmp"
    3⤵
    PID:2364
  - - C:\Users\Admin\AppData\Local\Temp\EF23.tmp
      "C:\Users\Admin\AppData\Local\Temp\EF23.tmp"
      4⤵
      PID:2688
    - - C:\Users\Admin\AppData\Local\Temp\EF71.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF71.tmp"
        5⤵
        
        PID:384
      - C:\Users\Admin\AppData\Local\Temp\EFBF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFBF.tmp"
        6⤵
        
        PID:3708
        
        C:\Users\Admin\AppData\Local\Temp\F00D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F00D.tmp"
        7⤵
        
        PID:1360
        
        C:\Users\Admin\AppData\Local\Temp\F05B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F05B.tmp"
        8⤵
        
        PID:2848
        
        C:\Users\Admin\AppData\Local\Temp\F0A9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F0A9.tmp"
        9⤵
        
        PID:3932
        
        C:\Users\Admin\AppData\Local\Temp\53EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\53EC.tmp"
        8⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:1332
      - C:\Users\Admin\AppData\Local\Temp\85F4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\85F4.tmp"
        6⤵
        
        PID:2688
        
        C:\Users\Admin\AppData\Local\Temp\8642.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8642.tmp"
        7⤵
        
        PID:2472
        
        C:\Users\Admin\AppData\Local\Temp\8690.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8690.tmp"
        8⤵
        
        PID:3932
        
        C:\Users\Admin\AppData\Local\Temp\86DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\86DE.tmp"
        9⤵
        
        PID:1520

C:\Users\Admin\AppData\Local\Temp\B44C.tmp
"C:\Users\Admin\AppData\Local\Temp\B44C.tmp"
1⤵
PID:4740
- C:\Users\Admin\AppData\Local\Temp\B49A.tmp
  "C:\Users\Admin\AppData\Local\Temp\B49A.tmp"
  2⤵
  PID:4332
- - C:\Users\Admin\AppData\Local\Temp\B4E8.tmp
    "C:\Users\Admin\AppData\Local\Temp\B4E8.tmp"
    3⤵
    PID:744
  - - C:\Users\Admin\AppData\Local\Temp\B536.tmp
      "C:\Users\Admin\AppData\Local\Temp\B536.tmp"
      4⤵
      PID:4920
- - C:\Users\Admin\AppData\Local\Temp\19FB.tmp
    "C:\Users\Admin\AppData\Local\Temp\19FB.tmp"
    3⤵
    PID:4220
  - - C:\Users\Admin\AppData\Local\Temp\1A49.tmp
      "C:\Users\Admin\AppData\Local\Temp\1A49.tmp"
      4⤵
      PID:4544
    - - C:\Users\Admin\AppData\Local\Temp\1A98.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1A98.tmp"
        5⤵
        
        PID:4476
      - C:\Users\Admin\AppData\Local\Temp\1AE6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1AE6.tmp"
        6⤵
        
        PID:2088
        
        C:\Users\Admin\AppData\Local\Temp\1B43.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B43.tmp"
        7⤵
        
        PID:1604
        
        C:\Users\Admin\AppData\Local\Temp\1B92.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B92.tmp"
        8⤵
        
        PID:1676
        
        C:\Users\Admin\AppData\Local\Temp\1BE0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1BE0.tmp"
        9⤵
        
        PID:3520
- C:\Users\Admin\AppData\Local\Temp\D9C6.tmp
  "C:\Users\Admin\AppData\Local\Temp\D9C6.tmp"
  2⤵
  PID:3208
- - C:\Users\Admin\AppData\Local\Temp\DA14.tmp
    "C:\Users\Admin\AppData\Local\Temp\DA14.tmp"
    3⤵
    PID:3692
  - - C:\Users\Admin\AppData\Local\Temp\DA62.tmp
      "C:\Users\Admin\AppData\Local\Temp\DA62.tmp"
      4⤵
      PID:1452
    - - C:\Users\Admin\AppData\Local\Temp\DAB0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DAB0.tmp"
        5⤵
        
        PID:556
      - C:\Users\Admin\AppData\Local\Temp\F4A1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F4A1.tmp"
        6⤵
        
        PID:1700
        
        C:\Users\Admin\AppData\Local\Temp\F4EF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F4EF.tmp"
        7⤵
        
        PID:4260
        
        C:\Users\Admin\AppData\Local\Temp\F53D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F53D.tmp"
        8⤵
        
        PID:3520
        
        C:\Users\Admin\AppData\Local\Temp\F58B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F58B.tmp"
        9⤵
        
        PID:2964
        
        C:\Users\Admin\AppData\Local\Temp\F5D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F5D9.tmp"
        10⤵
        
        PID:404
        
        C:\Users\Admin\AppData\Local\Temp\9C6F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9C6F.tmp"
        10⤵
        Executes dropped EXE
        
        PID:512
        
        C:\Users\Admin\AppData\Local\Temp\1C2E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1C2E.tmp"
        9⤵
        
        PID:2964
        
        C:\Users\Admin\AppData\Local\Temp\1C7C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1C7C.tmp"
        10⤵
        
        PID:4484
        
        C:\Users\Admin\AppData\Local\Temp\1CCA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1CCA.tmp"
        11⤵
        
        PID:2728
        
        C:\Users\Admin\AppData\Local\Temp\1D18.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D18.tmp"
        12⤵
        
        PID:1552
        
        C:\Users\Admin\AppData\Local\Temp\2A66.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A66.tmp"
        11⤵
        
        PID:2728
        
        C:\Users\Admin\AppData\Local\Temp\2AB5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2AB5.tmp"
        12⤵
        
        PID:1552
        
        C:\Users\Admin\AppData\Local\Temp\2B03.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B03.tmp"
        13⤵
        
        PID:216
        
        C:\Users\Admin\AppData\Local\Temp\54A3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\54A3.tmp"
        12⤵
        
        PID:4960
        
        C:\Users\Admin\AppData\Local\Temp\54F1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\54F1.tmp"
        13⤵
        
        PID:3916
        
        C:\Users\Admin\AppData\Local\Temp\553F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\553F.tmp"
        14⤵
        
        PID:3684
        
        C:\Users\Admin\AppData\Local\Temp\558D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\558D.tmp"
        15⤵
        
        PID:4036
        
        C:\Users\Admin\AppData\Local\Temp\55DB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\55DB.tmp"
        16⤵
        
        PID:3768
        
        C:\Users\Admin\AppData\Local\Temp\562A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\562A.tmp"
        17⤵
        
        PID:3008
  - - C:\Users\Admin\AppData\Local\Temp\F405.tmp
      "C:\Users\Admin\AppData\Local\Temp\F405.tmp"
      4⤵
      PID:1452
    - - C:\Users\Admin\AppData\Local\Temp\F453.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F453.tmp"
        5⤵
        
        PID:556
      - C:\Users\Admin\AppData\Local\Temp\DAFE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DAFE.tmp"
        6⤵
        
        PID:1700
      - C:\Users\Admin\AppData\Local\Temp\2892.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2892.tmp"
        6⤵
        
        PID:1700
        
        C:\Users\Admin\AppData\Local\Temp\28E0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\28E0.tmp"
        7⤵
        
        PID:3908
        
        C:\Users\Admin\AppData\Local\Temp\292E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\292E.tmp"
        8⤵
        
        PID:1676
        
        C:\Users\Admin\AppData\Local\Temp\297C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\297C.tmp"
        9⤵
        
        PID:2448
        
        C:\Users\Admin\AppData\Local\Temp\29CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\29CA.tmp"
        10⤵
        
        PID:2964
        
        C:\Users\Admin\AppData\Local\Temp\2A18.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A18.tmp"
        11⤵
        
        PID:4484
- - C:\Users\Admin\AppData\Local\Temp\3488.tmp
    "C:\Users\Admin\AppData\Local\Temp\3488.tmp"
    3⤵
    PID:3980
  - - C:\Users\Admin\AppData\Local\Temp\34D6.tmp
      "C:\Users\Admin\AppData\Local\Temp\34D6.tmp"
      4⤵
      PID:4580

C:\Users\Admin\AppData\Local\Temp\B9CA.tmp
"C:\Users\Admin\AppData\Local\Temp\B9CA.tmp"
1⤵
PID:1892
- C:\Users\Admin\AppData\Local\Temp\BA28.tmp
  "C:\Users\Admin\AppData\Local\Temp\BA28.tmp"
  2⤵
  PID:704
- - C:\Users\Admin\AppData\Local\Temp\BA76.tmp
    "C:\Users\Admin\AppData\Local\Temp\BA76.tmp"
    3⤵
    PID:4360
  - - C:\Users\Admin\AppData\Local\Temp\BAC4.tmp
      "C:\Users\Admin\AppData\Local\Temp\BAC4.tmp"
      4⤵
      PID:2984

C:\Users\Admin\AppData\Local\Temp\BB12.tmp
"C:\Users\Admin\AppData\Local\Temp\BB12.tmp"
1⤵
PID:548
- C:\Users\Admin\AppData\Local\Temp\BB61.tmp
  "C:\Users\Admin\AppData\Local\Temp\BB61.tmp"
  2⤵
  PID:3712
- - C:\Users\Admin\AppData\Local\Temp\BBAF.tmp
    "C:\Users\Admin\AppData\Local\Temp\BBAF.tmp"
    3⤵
    PID:3704

C:\Users\Admin\AppData\Local\Temp\BD83.tmp
"C:\Users\Admin\AppData\Local\Temp\BD83.tmp"
1⤵
PID:1132
- C:\Users\Admin\AppData\Local\Temp\BDD2.tmp
  "C:\Users\Admin\AppData\Local\Temp\BDD2.tmp"
  2⤵
  PID:2992
- - C:\Users\Admin\AppData\Local\Temp\BE20.tmp
    "C:\Users\Admin\AppData\Local\Temp\BE20.tmp"
    3⤵
    PID:5064
  - - C:\Users\Admin\AppData\Local\Temp\F1E2.tmp
      "C:\Users\Admin\AppData\Local\Temp\F1E2.tmp"
      4⤵
      PID:2864
    - - C:\Users\Admin\AppData\Local\Temp\F230.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F230.tmp"
        5⤵
        
        PID:2984
      - C:\Users\Admin\AppData\Local\Temp\F27E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F27E.tmp"
        6⤵
        
        PID:2524

C:\Users\Admin\AppData\Local\Temp\BFA6.tmp
"C:\Users\Admin\AppData\Local\Temp\BFA6.tmp"
1⤵
PID:3416
- C:\Users\Admin\AppData\Local\Temp\BFF4.tmp
  "C:\Users\Admin\AppData\Local\Temp\BFF4.tmp"
  2⤵
  PID:3272
- - C:\Users\Admin\AppData\Local\Temp\C043.tmp
    "C:\Users\Admin\AppData\Local\Temp\C043.tmp"
    3⤵
    PID:368

C:\Users\Admin\AppData\Local\Temp\C16B.tmp
"C:\Users\Admin\AppData\Local\Temp\C16B.tmp"
1⤵
PID:5024
- C:\Users\Admin\AppData\Local\Temp\C1BA.tmp
  "C:\Users\Admin\AppData\Local\Temp\C1BA.tmp"
  2⤵
  PID:1604
- - C:\Users\Admin\AppData\Local\Temp\C1F8.tmp
    "C:\Users\Admin\AppData\Local\Temp\C1F8.tmp"
    3⤵
    PID:348

C:\Users\Admin\AppData\Local\Temp\C246.tmp
"C:\Users\Admin\AppData\Local\Temp\C246.tmp"
1⤵
PID:4068
- C:\Users\Admin\AppData\Local\Temp\C294.tmp
  "C:\Users\Admin\AppData\Local\Temp\C294.tmp"
  2⤵
  PID:3520

C:\Users\Admin\AppData\Local\Temp\C4F6.tmp
"C:\Users\Admin\AppData\Local\Temp\C4F6.tmp"
1⤵
PID:1060
- C:\Users\Admin\AppData\Local\Temp\C544.tmp
  "C:\Users\Admin\AppData\Local\Temp\C544.tmp"
  2⤵
  PID:3848
- - C:\Users\Admin\AppData\Local\Temp\C592.tmp
    "C:\Users\Admin\AppData\Local\Temp\C592.tmp"
    3⤵
    PID:1044
  - - C:\Users\Admin\AppData\Local\Temp\C5E0.tmp
      "C:\Users\Admin\AppData\Local\Temp\C5E0.tmp"
      4⤵
      PID:1944
    - - C:\Users\Admin\AppData\Local\Temp\C62E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C62E.tmp"
        5⤵
        
        PID:1668
      - C:\Users\Admin\AppData\Local\Temp\C67C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C67C.tmp"
        6⤵
        
        PID:1768
  - - C:\Users\Admin\AppData\Local\Temp\599.tmp
      "C:\Users\Admin\AppData\Local\Temp\599.tmp"
      4⤵
      PID:3316
    - - C:\Users\Admin\AppData\Local\Temp\5E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E7.tmp"
        5⤵
        
        PID:3000
      - C:\Users\Admin\AppData\Local\Temp\635.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\635.tmp"
        6⤵
        
        PID:2304
    - - C:\Users\Admin\AppData\Local\Temp\4A91.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4A91.tmp"
        5⤵
        
        PID:624
      - C:\Users\Admin\AppData\Local\Temp\4ADF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4ADF.tmp"
        6⤵
        
        PID:3796
        
        C:\Users\Admin\AppData\Local\Temp\4B2D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B2D.tmp"
        7⤵
        
        PID:232

C:\Users\Admin\AppData\Local\Temp\C6CA.tmp
"C:\Users\Admin\AppData\Local\Temp\C6CA.tmp"
1⤵
PID:4360
- C:\Users\Admin\AppData\Local\Temp\C719.tmp
  "C:\Users\Admin\AppData\Local\Temp\C719.tmp"
  2⤵
  PID:4504
- - C:\Users\Admin\AppData\Local\Temp\C767.tmp
    "C:\Users\Admin\AppData\Local\Temp\C767.tmp"
    3⤵
    PID:1972
  - - C:\Users\Admin\AppData\Local\Temp\C7B5.tmp
      "C:\Users\Admin\AppData\Local\Temp\C7B5.tmp"
      4⤵
      PID:3552
    - - C:\Users\Admin\AppData\Local\Temp\C803.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C803.tmp"
        5⤵
        
        PID:868

C:\Users\Admin\AppData\Local\Temp\C851.tmp
"C:\Users\Admin\AppData\Local\Temp\C851.tmp"
1⤵
PID:384
- C:\Users\Admin\AppData\Local\Temp\C89F.tmp
  "C:\Users\Admin\AppData\Local\Temp\C89F.tmp"
  2⤵
  PID:3708
- - C:\Users\Admin\AppData\Local\Temp\C8ED.tmp
    "C:\Users\Admin\AppData\Local\Temp\C8ED.tmp"
    3⤵
    PID:1360
  - - C:\Users\Admin\AppData\Local\Temp\C93B.tmp
      "C:\Users\Admin\AppData\Local\Temp\C93B.tmp"
      4⤵
      PID:1940
    - - C:\Users\Admin\AppData\Local\Temp\C98A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C98A.tmp"
        5⤵
        
        PID:5036
      - C:\Users\Admin\AppData\Local\Temp\C9D8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C9D8.tmp"
        6⤵
        
        PID:2180
        
        C:\Users\Admin\AppData\Local\Temp\A151.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A151.tmp"
        7⤵
        
        PID:1440

C:\Users\Admin\AppData\Local\Temp\CB5E.tmp
"C:\Users\Admin\AppData\Local\Temp\CB5E.tmp"
1⤵
PID:1412
- C:\Users\Admin\AppData\Local\Temp\CBAC.tmp
  "C:\Users\Admin\AppData\Local\Temp\CBAC.tmp"
  2⤵
  PID:4072
- - C:\Users\Admin\AppData\Local\Temp\5832.tmp
    "C:\Users\Admin\AppData\Local\Temp\5832.tmp"
    3⤵
    PID:3124
- C:\Users\Admin\AppData\Local\Temp\4F73.tmp
  "C:\Users\Admin\AppData\Local\Temp\4F73.tmp"
  2⤵
  PID:1048
- - C:\Users\Admin\AppData\Local\Temp\4FC1.tmp
    "C:\Users\Admin\AppData\Local\Temp\4FC1.tmp"
    3⤵
    PID:2036
  - - C:\Users\Admin\AppData\Local\Temp\500F.tmp
      "C:\Users\Admin\AppData\Local\Temp\500F.tmp"
      4⤵
      PID:2992
    - - C:\Users\Admin\AppData\Local\Temp\505D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\505D.tmp"
        5⤵
        
        PID:3712

C:\Users\Admin\AppData\Local\Temp\CCE5.tmp
"C:\Users\Admin\AppData\Local\Temp\CCE5.tmp"
1⤵
PID:1248
- C:\Users\Admin\AppData\Local\Temp\CD33.tmp
  "C:\Users\Admin\AppData\Local\Temp\CD33.tmp"
  2⤵
  PID:1636
- C:\Users\Admin\AppData\Local\Temp\105.tmp
  "C:\Users\Admin\AppData\Local\Temp\105.tmp"
  2⤵
  PID:3924
- - C:\Users\Admin\AppData\Local\Temp\153.tmp
    "C:\Users\Admin\AppData\Local\Temp\153.tmp"
    3⤵
    PID:2576
  - - C:\Users\Admin\AppData\Local\Temp\1A1.tmp
      "C:\Users\Admin\AppData\Local\Temp\1A1.tmp"
      4⤵
      PID:1604
- - C:\Users\Admin\AppData\Local\Temp\6755.tmp
    "C:\Users\Admin\AppData\Local\Temp\6755.tmp"
    3⤵
    PID:1928

C:\Users\Admin\AppData\Local\Temp\CD81.tmp
"C:\Users\Admin\AppData\Local\Temp\CD81.tmp"
1⤵
PID:2576
- C:\Users\Admin\AppData\Local\Temp\CDCF.tmp
  "C:\Users\Admin\AppData\Local\Temp\CDCF.tmp"
  2⤵
  PID:4920
- - C:\Users\Admin\AppData\Local\Temp\CE1D.tmp
    "C:\Users\Admin\AppData\Local\Temp\CE1D.tmp"
    3⤵
    PID:3908
  - - C:\Users\Admin\AppData\Local\Temp\CE6C.tmp
      "C:\Users\Admin\AppData\Local\Temp\CE6C.tmp"
      4⤵
      PID:880

C:\Users\Admin\AppData\Local\Temp\CEBA.tmp
"C:\Users\Admin\AppData\Local\Temp\CEBA.tmp"
1⤵
PID:1676
- C:\Users\Admin\AppData\Local\Temp\CF08.tmp
  "C:\Users\Admin\AppData\Local\Temp\CF08.tmp"
  2⤵
  PID:2964
- - C:\Users\Admin\AppData\Local\Temp\CF56.tmp
    "C:\Users\Admin\AppData\Local\Temp\CF56.tmp"
    3⤵
    PID:4900
  - - C:\Users\Admin\AppData\Local\Temp\CFA4.tmp
      "C:\Users\Admin\AppData\Local\Temp\CFA4.tmp"
      4⤵
      PID:2516
    - - C:\Users\Admin\AppData\Local\Temp\E9E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E9E3.tmp"
        5⤵
        
        PID:3060
      - C:\Users\Admin\AppData\Local\Temp\EA31.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA31.tmp"
        6⤵
        
        PID:1992
        
        C:\Users\Admin\AppData\Local\Temp\EA7F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA7F.tmp"
        7⤵
        
        PID:4888
      - C:\Users\Admin\AppData\Local\Temp\396A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\396A.tmp"
        6⤵
        
        PID:1060
        
        C:\Users\Admin\AppData\Local\Temp\39B8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\39B8.tmp"
        7⤵
        
        PID:4052
        
        C:\Users\Admin\AppData\Local\Temp\3A06.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A06.tmp"
        8⤵
        
        PID:532
        
        C:\Users\Admin\AppData\Local\Temp\3A55.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A55.tmp"
        9⤵
        
        PID:4832
        
        C:\Users\Admin\AppData\Local\Temp\490A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\490A.tmp"
        9⤵
        
        PID:3868
        
        C:\Users\Admin\AppData\Local\Temp\4958.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4958.tmp"
        10⤵
        
        PID:4328
        
        C:\Users\Admin\AppData\Local\Temp\49A6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\49A6.tmp"
        11⤵
        
        PID:2388
        
        C:\Users\Admin\AppData\Local\Temp\49F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\49F5.tmp"
        12⤵
        
        PID:3160
        
        C:\Users\Admin\AppData\Local\Temp\4A43.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4A43.tmp"
        13⤵
        
        PID:3316
        
        C:\Users\Admin\AppData\Local\Temp\8335.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8335.tmp"
        12⤵
        
        PID:3000
        
        C:\Users\Admin\AppData\Local\Temp\8383.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8383.tmp"
        13⤵
        
        PID:624
        
        C:\Users\Admin\AppData\Local\Temp\83D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\83D1.tmp"
        14⤵
        
        PID:1776
        
        C:\Users\Admin\AppData\Local\Temp\841F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\841F.tmp"
        15⤵
        
        PID:956

C:\Users\Admin\AppData\Local\Temp\D2FF.tmp
"C:\Users\Admin\AppData\Local\Temp\D2FF.tmp"
1⤵
PID:1944
- C:\Users\Admin\AppData\Local\Temp\D34E.tmp
  "C:\Users\Admin\AppData\Local\Temp\D34E.tmp"
  2⤵
  PID:2460
- - C:\Users\Admin\AppData\Local\Temp\E119.tmp
    "C:\Users\Admin\AppData\Local\Temp\E119.tmp"
    3⤵
    PID:1768
  - - C:\Users\Admin\AppData\Local\Temp\E167.tmp
      "C:\Users\Admin\AppData\Local\Temp\E167.tmp"
      4⤵
      PID:3696
    - - C:\Users\Admin\AppData\Local\Temp\E1B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E1B5.tmp"
        5⤵
        
        PID:4504
  - - C:\Users\Admin\AppData\Local\Temp\FB19.tmp
      "C:\Users\Admin\AppData\Local\Temp\FB19.tmp"
      4⤵
      PID:4448
    - - C:\Users\Admin\AppData\Local\Temp\FB67.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB67.tmp"
        5⤵
        
        PID:1972
      - C:\Users\Admin\AppData\Local\Temp\FBB5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FBB5.tmp"
        6⤵
        
        PID:3716
        
        C:\Users\Admin\AppData\Local\Temp\FC03.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC03.tmp"
        7⤵
        
        PID:3584
        
        C:\Users\Admin\AppData\Local\Temp\FC52.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC52.tmp"
        8⤵
        
        PID:3236
        
        C:\Users\Admin\AppData\Local\Temp\6A0F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A0F.tmp"
        9⤵
        
        PID:1868
        
        C:\Users\Admin\AppData\Local\Temp\6A5D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A5D.tmp"
        10⤵
        
        PID:2748
        
        C:\Users\Admin\AppData\Local\Temp\6AAC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6AAC.tmp"
        11⤵
        
        PID:4936
        
        C:\Users\Admin\AppData\Local\Temp\6AFA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6AFA.tmp"
        12⤵
        
        PID:4480
        
        C:\Users\Admin\AppData\Local\Temp\6B57.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B57.tmp"
        13⤵
        
        PID:4128
        
        C:\Users\Admin\AppData\Local\Temp\3F37.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3F37.tmp"
        8⤵
        
        PID:336
        
        C:\Users\Admin\AppData\Local\Temp\3F85.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3F85.tmp"
        9⤵
        
        PID:4600
        
        C:\Users\Admin\AppData\Local\Temp\3FD3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3FD3.tmp"
        10⤵
        
        PID:5036
        
        C:\Users\Admin\AppData\Local\Temp\4021.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4021.tmp"
        11⤵
        
        PID:3708
        
        C:\Users\Admin\AppData\Local\Temp\4D02.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D02.tmp"
        7⤵
        
        PID:1244
        
        C:\Users\Admin\AppData\Local\Temp\4D50.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D50.tmp"
        8⤵
        
        PID:1360
        
        C:\Users\Admin\AppData\Local\Temp\4D9E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D9E.tmp"
        9⤵
        
        PID:3584
        
        C:\Users\Admin\AppData\Local\Temp\4DEC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4DEC.tmp"
        10⤵
        
        PID:336
        
        C:\Users\Admin\AppData\Local\Temp\4E3A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E3A.tmp"
        11⤵
        
        PID:4600
        
        C:\Users\Admin\AppData\Local\Temp\4E88.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E88.tmp"
        12⤵
        
        PID:5036
        
        C:\Users\Admin\AppData\Local\Temp\4ED7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4ED7.tmp"
        13⤵
        
        PID:3708
        
        C:\Users\Admin\AppData\Local\Temp\4F25.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F25.tmp"
        14⤵
        
        PID:1412
        
        C:\Users\Admin\AppData\Local\Temp\5D4E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D4E.tmp"
        12⤵
        
        PID:1492
        
        C:\Users\Admin\AppData\Local\Temp\5D9C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D9C.tmp"
        13⤵
        
        PID:4116
        
        C:\Users\Admin\AppData\Local\Temp\5DEA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5DEA.tmp"
        14⤵
        
        PID:3012
        
        C:\Users\Admin\AppData\Local\Temp\5E38.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E38.tmp"
        15⤵
        
        PID:3892
        
        C:\Users\Admin\AppData\Local\Temp\5E86.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E86.tmp"
        16⤵
        
        PID:4424
        
        C:\Users\Admin\AppData\Local\Temp\5ED4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5ED4.tmp"
        17⤵
        
        PID:744
        
        C:\Users\Admin\AppData\Local\Temp\5F22.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F22.tmp"
        18⤵
        
        PID:4332
        
        C:\Users\Admin\AppData\Local\Temp\7CCC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7CCC.tmp"
        19⤵
        
        PID:4104
        
        C:\Users\Admin\AppData\Local\Temp\7D1A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D1A.tmp"
        20⤵
        
        PID:2556
        
        C:\Users\Admin\AppData\Local\Temp\7D68.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D68.tmp"
        21⤵
        
        PID:5080
        
        C:\Users\Admin\AppData\Local\Temp\7DB7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7DB7.tmp"
        22⤵
        
        PID:1636
        
        C:\Users\Admin\AppData\Local\Temp\8B72.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8B72.tmp"
        21⤵
        
        PID:5080
        
        C:\Users\Admin\AppData\Local\Temp\8BC0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8BC0.tmp"
        22⤵
        
        PID:2088
        
        C:\Users\Admin\AppData\Local\Temp\5C54.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C54.tmp"
        9⤵
        
        PID:2848
        
        C:\Users\Admin\AppData\Local\Temp\5CA2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5CA2.tmp"
        10⤵
        
        PID:1208
        
        C:\Users\Admin\AppData\Local\Temp\5CF0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5CF0.tmp"
        11⤵
        
        PID:4600
        
        C:\Users\Admin\AppData\Local\Temp\8817.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8817.tmp"
        12⤵
        
        PID:4116
        
        C:\Users\Admin\AppData\Local\Temp\8865.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8865.tmp"
        13⤵
        
        PID:4876
        
        C:\Users\Admin\AppData\Local\Temp\88B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\88B3.tmp"
        14⤵
        
        PID:4408
        
        C:\Users\Admin\AppData\Local\Temp\8901.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8901.tmp"
        15⤵
        
        PID:4268
    - - C:\Users\Admin\AppData\Local\Temp\59D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\59D3.tmp"
        5⤵
        
        PID:1972
      - C:\Users\Admin\AppData\Local\Temp\5A21.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A21.tmp"
        6⤵
        
        PID:4956
        
        C:\Users\Admin\AppData\Local\Temp\5A6F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A6F.tmp"
        7⤵
        
        PID:4940

C:\Users\Admin\AppData\Local\Temp\DC37.tmp
"C:\Users\Admin\AppData\Local\Temp\DC37.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2448
- C:\Users\Admin\AppData\Local\Temp\DC85.tmp
  "C:\Users\Admin\AppData\Local\Temp\DC85.tmp"
  2⤵
  PID:2444

C:\Users\Admin\AppData\Local\Temp\DCD3.tmp
"C:\Users\Admin\AppData\Local\Temp\DCD3.tmp"
1⤵
PID:3564
- C:\Users\Admin\AppData\Local\Temp\DD21.tmp
  "C:\Users\Admin\AppData\Local\Temp\DD21.tmp"
  2⤵
  PID:1320
- - C:\Users\Admin\AppData\Local\Temp\DD6F.tmp
    "C:\Users\Admin\AppData\Local\Temp\DD6F.tmp"
    3⤵
    PID:2112

C:\Users\Admin\AppData\Local\Temp\DDBD.tmp
"C:\Users\Admin\AppData\Local\Temp\DDBD.tmp"
1⤵
PID:3448
- C:\Users\Admin\AppData\Local\Temp\DE0C.tmp
  "C:\Users\Admin\AppData\Local\Temp\DE0C.tmp"
  2⤵
  PID:4944
- - C:\Users\Admin\AppData\Local\Temp\DE5A.tmp
    "C:\Users\Admin\AppData\Local\Temp\DE5A.tmp"
    3⤵
    PID:3556
- C:\Users\Admin\AppData\Local\Temp\12A8.tmp
  "C:\Users\Admin\AppData\Local\Temp\12A8.tmp"
  2⤵
  PID:540
- - C:\Users\Admin\AppData\Local\Temp\12F6.tmp
    "C:\Users\Admin\AppData\Local\Temp\12F6.tmp"
    3⤵
    PID:4844
  - - C:\Users\Admin\AppData\Local\Temp\1345.tmp
      "C:\Users\Admin\AppData\Local\Temp\1345.tmp"
      4⤵
      PID:3004

C:\Users\Admin\AppData\Local\Temp\DEF6.tmp
"C:\Users\Admin\AppData\Local\Temp\DEF6.tmp"
1⤵
PID:2612
- C:\Users\Admin\AppData\Local\Temp\DF44.tmp
  "C:\Users\Admin\AppData\Local\Temp\DF44.tmp"
  2⤵
  PID:2520
- - C:\Users\Admin\AppData\Local\Temp\DF92.tmp
    "C:\Users\Admin\AppData\Local\Temp\DF92.tmp"
    3⤵
    PID:5096
  - - C:\Users\Admin\AppData\Local\Temp\DFE0.tmp
      "C:\Users\Admin\AppData\Local\Temp\DFE0.tmp"
      4⤵
      PID:544

C:\Users\Admin\AppData\Local\Temp\E02E.tmp
"C:\Users\Admin\AppData\Local\Temp\E02E.tmp"
1⤵
PID:1352
- C:\Users\Admin\AppData\Local\Temp\E07D.tmp
  "C:\Users\Admin\AppData\Local\Temp\E07D.tmp"
  2⤵
  PID:1944
- - C:\Users\Admin\AppData\Local\Temp\E0CB.tmp
    "C:\Users\Admin\AppData\Local\Temp\E0CB.tmp"
    3⤵
    PID:2460
  - - C:\Users\Admin\AppData\Local\Temp\14CB.tmp
      "C:\Users\Admin\AppData\Local\Temp\14CB.tmp"
      4⤵
      PID:4588
    - - C:\Users\Admin\AppData\Local\Temp\1519.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1519.tmp"
        5⤵
        
        PID:1516
      - C:\Users\Admin\AppData\Local\Temp\1577.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1577.tmp"
        6⤵
        
        PID:868
        
        C:\Users\Admin\AppData\Local\Temp\15B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\15B6.tmp"
        7⤵
        
        PID:2364

C:\Users\Admin\AppData\Local\Temp\E947.tmp
"C:\Users\Admin\AppData\Local\Temp\E947.tmp"
1⤵
PID:3312
- C:\Users\Admin\AppData\Local\Temp\E995.tmp
  "C:\Users\Admin\AppData\Local\Temp\E995.tmp"
  2⤵
  PID:2516

C:\Users\Admin\AppData\Local\Temp\EBB8.tmp
"C:\Users\Admin\AppData\Local\Temp\EBB8.tmp"
1⤵
PID:2752
- C:\Users\Admin\AppData\Local\Temp\EC06.tmp
  "C:\Users\Admin\AppData\Local\Temp\EC06.tmp"
  2⤵
  PID:4040
- - C:\Users\Admin\AppData\Local\Temp\EC63.tmp
    "C:\Users\Admin\AppData\Local\Temp\EC63.tmp"
    3⤵
    PID:4832
  - - C:\Users\Admin\AppData\Local\Temp\ECB2.tmp
      "C:\Users\Admin\AppData\Local\Temp\ECB2.tmp"
      4⤵
      PID:4552
  - - C:\Users\Admin\AppData\Local\Temp\5208.tmp
      "C:\Users\Admin\AppData\Local\Temp\5208.tmp"
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:732
- - C:\Users\Admin\AppData\Local\Temp\2C3B.tmp
    "C:\Users\Admin\AppData\Local\Temp\2C3B.tmp"
    3⤵
    PID:4832
  - - C:\Users\Admin\AppData\Local\Temp\2C89.tmp
      "C:\Users\Admin\AppData\Local\Temp\2C89.tmp"
      4⤵
      PID:4328
    - - C:\Users\Admin\AppData\Local\Temp\2CD7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2CD7.tmp"
        5⤵
        
        PID:2388
  - - C:\Users\Admin\AppData\Local\Temp\3AA3.tmp
      "C:\Users\Admin\AppData\Local\Temp\3AA3.tmp"
      4⤵
      PID:4328
    - - C:\Users\Admin\AppData\Local\Temp\3AF1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3AF1.tmp"
        5⤵
        
        PID:2388
      - C:\Users\Admin\AppData\Local\Temp\3B3F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B3F.tmp"
        6⤵
        
        PID:3448

C:\Users\Admin\AppData\Local\Temp\EDEA.tmp
"C:\Users\Admin\AppData\Local\Temp\EDEA.tmp"
1⤵
PID:2912
- C:\Users\Admin\AppData\Local\Temp\EE38.tmp
  "C:\Users\Admin\AppData\Local\Temp\EE38.tmp"
  2⤵
  PID:5016
- - C:\Users\Admin\AppData\Local\Temp\EE86.tmp
    "C:\Users\Admin\AppData\Local\Temp\EE86.tmp"
    3⤵
    PID:3296
  - - C:\Users\Admin\AppData\Local\Temp\EED4.tmp
      "C:\Users\Admin\AppData\Local\Temp\EED4.tmp"
      4⤵
      PID:2364
    - - C:\Users\Admin\AppData\Local\Temp\B0A3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B0A3.tmp"
        5⤵
        
        PID:3436
      - C:\Users\Admin\AppData\Local\Temp\6F35.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F35.tmp"
        6⤵
        
        PID:4128
        
        C:\Users\Admin\AppData\Local\Temp\6BA6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6BA6.tmp"
        7⤵
        
        PID:2552
        
        C:\Users\Admin\AppData\Local\Temp\6BF4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6BF4.tmp"
        8⤵
        
        PID:2488
        
        C:\Users\Admin\AppData\Local\Temp\6C42.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C42.tmp"
        9⤵
        
        PID:4076
    - - C:\Users\Admin\AppData\Local\Temp\54E6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\54E6.tmp"
        5⤵
        
        PID:2388
      - C:\Users\Admin\AppData\Local\Temp\2D26.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2D26.tmp"
        6⤵
        
        PID:3448
        
        C:\Users\Admin\AppData\Local\Temp\2D74.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2D74.tmp"
        7⤵
        
        PID:544
        
        C:\Users\Admin\AppData\Local\Temp\2DC2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2DC2.tmp"
        8⤵
        
        PID:624
        
        C:\Users\Admin\AppData\Local\Temp\2E20.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2E20.tmp"
        9⤵
        
        PID:3796
        
        C:\Users\Admin\AppData\Local\Temp\2E6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2E6E.tmp"
        10⤵
        
        PID:232
        
        C:\Users\Admin\AppData\Local\Temp\2EBC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2EBC.tmp"
        11⤵
        
        PID:1776
        
        C:\Users\Admin\AppData\Local\Temp\3C77.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C77.tmp"
        10⤵
        
        PID:232
        
        C:\Users\Admin\AppData\Local\Temp\3CC6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3CC6.tmp"
        11⤵
        
        PID:4956
        
        C:\Users\Admin\AppData\Local\Temp\3D14.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3D14.tmp"
        12⤵
        
        PID:4360
        
        C:\Users\Admin\AppData\Local\Temp\4B7B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B7B.tmp"
        11⤵
        
        PID:4956
        
        C:\Users\Admin\AppData\Local\Temp\4BC9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4BC9.tmp"
        12⤵
        
        PID:4360
        
        C:\Users\Admin\AppData\Local\Temp\4C17.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C17.tmp"
        13⤵
        
        PID:4032
        
        C:\Users\Admin\AppData\Local\Temp\4C66.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C66.tmp"
        14⤵
        
        PID:3704
        
        C:\Users\Admin\AppData\Local\Temp\4CB4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4CB4.tmp"
        15⤵
        
        PID:3716
        
        C:\Users\Admin\AppData\Local\Temp\5BA8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5BA8.tmp"
        16⤵
        
        PID:1244
        
        C:\Users\Admin\AppData\Local\Temp\5C06.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C06.tmp"
        17⤵
        
        PID:1360
        
        C:\Users\Admin\AppData\Local\Temp\3B8D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B8D.tmp"
        7⤵
        
        PID:544
        
        C:\Users\Admin\AppData\Local\Temp\3BDB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3BDB.tmp"
        8⤵
        
        PID:624
        
        C:\Users\Admin\AppData\Local\Temp\3C29.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C29.tmp"
        9⤵
        
        PID:3796
  - - C:\Users\Admin\AppData\Local\Temp\3DEE.tmp
      "C:\Users\Admin\AppData\Local\Temp\3DEE.tmp"
      4⤵
      PID:5016
    - - C:\Users\Admin\AppData\Local\Temp\3E4C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E4C.tmp"
        5⤵
        
        PID:1868
      - C:\Users\Admin\AppData\Local\Temp\3E9A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E9A.tmp"
        6⤵
        Executes dropped EXE
        
        PID:1716
        
        C:\Users\Admin\AppData\Local\Temp\3EE8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3EE8.tmp"
        7⤵
        
        PID:3584
- - C:\Users\Admin\AppData\Local\Temp\AF6A.tmp
    "C:\Users\Admin\AppData\Local\Temp\AF6A.tmp"
    3⤵
    PID:868
- C:\Users\Admin\AppData\Local\Temp\80A.tmp
  "C:\Users\Admin\AppData\Local\Temp\80A.tmp"
  2⤵
  PID:5016
- - C:\Users\Admin\AppData\Local\Temp\858.tmp
    "C:\Users\Admin\AppData\Local\Temp\858.tmp"
    3⤵
    PID:1868
  - - C:\Users\Admin\AppData\Local\Temp\8A6.tmp
      "C:\Users\Admin\AppData\Local\Temp\8A6.tmp"
      4⤵
      PID:3832

C:\Users\Admin\AppData\Local\Temp\F627.tmp
"C:\Users\Admin\AppData\Local\Temp\F627.tmp"
1⤵
PID:2728
- C:\Users\Admin\AppData\Local\Temp\F676.tmp
  "C:\Users\Admin\AppData\Local\Temp\F676.tmp"
  2⤵
  PID:216
- - C:\Users\Admin\AppData\Local\Temp\F6C4.tmp
    "C:\Users\Admin\AppData\Local\Temp\F6C4.tmp"
    3⤵
    PID:4036
  - - C:\Users\Admin\AppData\Local\Temp\F712.tmp
      "C:\Users\Admin\AppData\Local\Temp\F712.tmp"
      4⤵
      PID:1752
  - - C:\Users\Admin\AppData\Local\Temp\1E03.tmp
      "C:\Users\Admin\AppData\Local\Temp\1E03.tmp"
      4⤵
      PID:3248
    - - C:\Users\Admin\AppData\Local\Temp\1E51.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E51.tmp"
        5⤵
        
        PID:1496
      - C:\Users\Admin\AppData\Local\Temp\1E9F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E9F.tmp"
        6⤵
        
        PID:2752
        
        C:\Users\Admin\AppData\Local\Temp\1EED.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1EED.tmp"
        7⤵
        
        PID:836

C:\Users\Admin\AppData\Local\Temp\FCA0.tmp
"C:\Users\Admin\AppData\Local\Temp\FCA0.tmp"
1⤵
PID:1784
- C:\Users\Admin\AppData\Local\Temp\FCEE.tmp
  "C:\Users\Admin\AppData\Local\Temp\FCEE.tmp"
  2⤵
  PID:4104
- - C:\Users\Admin\AppData\Local\Temp\FD4C.tmp
    "C:\Users\Admin\AppData\Local\Temp\FD4C.tmp"
    3⤵
    PID:1064
  - - C:\Users\Admin\AppData\Local\Temp\173C.tmp
      "C:\Users\Admin\AppData\Local\Temp\173C.tmp"
      4⤵
      PID:2328
    - - C:\Users\Admin\AppData\Local\Temp\178A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\178A.tmp"
        5⤵
        
        PID:4076
      - C:\Users\Admin\AppData\Local\Temp\17D8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\17D8.tmp"
        6⤵
        
        PID:1616
        
        C:\Users\Admin\AppData\Local\Temp\25E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\25E2.tmp"
        7⤵
        
        PID:3892
        
        C:\Users\Admin\AppData\Local\Temp\2630.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2630.tmp"
        8⤵
        
        PID:1628
        
        C:\Users\Admin\AppData\Local\Temp\267E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\267E.tmp"
        9⤵
        
        PID:4424

C:\Users\Admin\AppData\Local\Temp\5256.tmp
"C:\Users\Admin\AppData\Local\Temp\5256.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4880

C:\Users\Admin\AppData\Local\Temp\412.tmp
"C:\Users\Admin\AppData\Local\Temp\412.tmp"
1⤵
PID:3088
- C:\Users\Admin\AppData\Local\Temp\460.tmp
  "C:\Users\Admin\AppData\Local\Temp\460.tmp"
  2⤵
  PID:1496
- - C:\Users\Admin\AppData\Local\Temp\4AE.tmp
    "C:\Users\Admin\AppData\Local\Temp\4AE.tmp"
    3⤵
    PID:5044
  - - C:\Users\Admin\AppData\Local\Temp\4FC.tmp
      "C:\Users\Admin\AppData\Local\Temp\4FC.tmp"
      4⤵
      PID:2904
    - - C:\Users\Admin\AppData\Local\Temp\54A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\54A.tmp"
        5⤵
        
        PID:1044

C:\Users\Admin\AppData\Local\Temp\683.tmp
"C:\Users\Admin\AppData\Local\Temp\683.tmp"
1⤵
PID:3536
- C:\Users\Admin\AppData\Local\Temp\6D1.tmp
  "C:\Users\Admin\AppData\Local\Temp\6D1.tmp"
  2⤵
  PID:1892
- - C:\Users\Admin\AppData\Local\Temp\71F.tmp
    "C:\Users\Admin\AppData\Local\Temp\71F.tmp"
    3⤵
    PID:1456
  - - C:\Users\Admin\AppData\Local\Temp\76D.tmp
      "C:\Users\Admin\AppData\Local\Temp\76D.tmp"
      4⤵
      PID:4520
    - - C:\Users\Admin\AppData\Local\Temp\7BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7BB.tmp"
        5⤵
        
        PID:2912
  - - C:\Users\Admin\AppData\Local\Temp\2FF4.tmp
      "C:\Users\Admin\AppData\Local\Temp\2FF4.tmp"
      4⤵
      PID:4588
    - - C:\Users\Admin\AppData\Local\Temp\3042.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3042.tmp"
        5⤵
        
        PID:2988
      - C:\Users\Admin\AppData\Local\Temp\3091.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3091.tmp"
        6⤵
        
        PID:3500
        
        C:\Users\Admin\AppData\Local\Temp\30DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\30DF.tmp"
        7⤵
        
        PID:2688

C:\Users\Admin\AppData\Local\Temp\10D4.tmp
"C:\Users\Admin\AppData\Local\Temp\10D4.tmp"
1⤵
PID:4888
- C:\Users\Admin\AppData\Local\Temp\1122.tmp
  "C:\Users\Admin\AppData\Local\Temp\1122.tmp"
  2⤵
  PID:968
- - C:\Users\Admin\AppData\Local\Temp\1170.tmp
    "C:\Users\Admin\AppData\Local\Temp\1170.tmp"
    3⤵
    PID:4760
  - - C:\Users\Admin\AppData\Local\Temp\11BE.tmp
      "C:\Users\Admin\AppData\Local\Temp\11BE.tmp"
      4⤵
      PID:2520
    - - C:\Users\Admin\AppData\Local\Temp\120C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\120C.tmp"
        5⤵
        
        PID:5096
      - C:\Users\Admin\AppData\Local\Temp\125A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\125A.tmp"
        6⤵
        
        PID:3448
    - - C:\Users\Admin\AppData\Local\Temp\5762.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5762.tmp"
        5⤵
        
        PID:3664
      - C:\Users\Admin\AppData\Local\Temp\57B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\57B0.tmp"
        6⤵
        
        PID:3004
        
        C:\Users\Admin\AppData\Local\Temp\57FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\57FE.tmp"
        7⤵
        
        PID:4636
        
        C:\Users\Admin\AppData\Local\Temp\584C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\584C.tmp"
        8⤵
        
        PID:3592

C:\Users\Admin\AppData\Local\Temp\1D66.tmp
"C:\Users\Admin\AppData\Local\Temp\1D66.tmp"
1⤵
PID:216
- C:\Users\Admin\AppData\Local\Temp\1DB4.tmp
  "C:\Users\Admin\AppData\Local\Temp\1DB4.tmp"
  2⤵
  PID:4036
- C:\Users\Admin\AppData\Local\Temp\2B51.tmp
  "C:\Users\Admin\AppData\Local\Temp\2B51.tmp"
  2⤵
  PID:4036
- - C:\Users\Admin\AppData\Local\Temp\2B9F.tmp
    "C:\Users\Admin\AppData\Local\Temp\2B9F.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:3248
  - - C:\Users\Admin\AppData\Local\Temp\2BED.tmp
      "C:\Users\Admin\AppData\Local\Temp\2BED.tmp"
      4⤵
      PID:4040

C:\Users\Admin\AppData\Local\Temp\3880.tmp
"C:\Users\Admin\AppData\Local\Temp\3880.tmp"
1⤵
PID:1400
- C:\Users\Admin\AppData\Local\Temp\38CE.tmp
  "C:\Users\Admin\AppData\Local\Temp\38CE.tmp"
  2⤵
  PID:2308
- - C:\Users\Admin\AppData\Local\Temp\391C.tmp
    "C:\Users\Admin\AppData\Local\Temp\391C.tmp"
    3⤵
    PID:3060
  - - C:\Users\Admin\AppData\Local\Temp\725C.tmp
      "C:\Users\Admin\AppData\Local\Temp\725C.tmp"
      4⤵
      PID:1992
    - - C:\Users\Admin\AppData\Local\Temp\72AA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\72AA.tmp"
        5⤵
        
        PID:2312
      - C:\Users\Admin\AppData\Local\Temp\72F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\72F9.tmp"
        6⤵
        
        PID:1604
        
        C:\Users\Admin\AppData\Local\Temp\7347.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7347.tmp"
        7⤵
        
        PID:2132
        
        C:\Users\Admin\AppData\Local\Temp\7395.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7395.tmp"
        8⤵
        
        PID:3776
        
        C:\Users\Admin\AppData\Local\Temp\73E3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\73E3.tmp"
        9⤵
        
        PID:3508
- - C:\Users\Admin\AppData\Local\Temp\8112.tmp
    "C:\Users\Admin\AppData\Local\Temp\8112.tmp"
    3⤵
    PID:1216
  - - C:\Users\Admin\AppData\Local\Temp\8160.tmp
      "C:\Users\Admin\AppData\Local\Temp\8160.tmp"
      4⤵
      PID:1884
    - - C:\Users\Admin\AppData\Local\Temp\81AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\81AE.tmp"
        5⤵
        
        PID:1072
- C:\Users\Admin\AppData\Local\Temp\46E7.tmp
  "C:\Users\Admin\AppData\Local\Temp\46E7.tmp"
  2⤵
  PID:220
- - C:\Users\Admin\AppData\Local\Temp\4735.tmp
    "C:\Users\Admin\AppData\Local\Temp\4735.tmp"
    3⤵
    PID:1992
  - - C:\Users\Admin\AppData\Local\Temp\4793.tmp
      "C:\Users\Admin\AppData\Local\Temp\4793.tmp"
      4⤵
      PID:1884
    - - C:\Users\Admin\AppData\Local\Temp\47D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\47D2.tmp"
        5⤵
        
        PID:3024
      - C:\Users\Admin\AppData\Local\Temp\4820.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4820.tmp"
        6⤵
        
        PID:1896
        
        C:\Users\Admin\AppData\Local\Temp\486E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\486E.tmp"
        7⤵
        
        PID:968
        
        C:\Users\Admin\AppData\Local\Temp\48BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\48BC.tmp"
        8⤵
        
        PID:532

C:\Users\Admin\AppData\Local\Temp\5678.tmp
"C:\Users\Admin\AppData\Local\Temp\5678.tmp"
1⤵
PID:2752
- C:\Users\Admin\AppData\Local\Temp\56C6.tmp
  "C:\Users\Admin\AppData\Local\Temp\56C6.tmp"
  2⤵
  PID:5096
- - C:\Users\Admin\AppData\Local\Temp\5714.tmp
    "C:\Users\Admin\AppData\Local\Temp\5714.tmp"
    3⤵
    PID:2520

C:\Users\Admin\AppData\Local\Temp\5ABD.tmp
"C:\Users\Admin\AppData\Local\Temp\5ABD.tmp"
1⤵
PID:4032
- C:\Users\Admin\AppData\Local\Temp\5B0C.tmp
  "C:\Users\Admin\AppData\Local\Temp\5B0C.tmp"
  2⤵
  PID:3704
- - C:\Users\Admin\AppData\Local\Temp\5B5A.tmp
    "C:\Users\Admin\AppData\Local\Temp\5B5A.tmp"
    3⤵
    PID:3716

C:\Users\Admin\AppData\Local\Temp\631A.tmp
"C:\Users\Admin\AppData\Local\Temp\631A.tmp"
1⤵
PID:2112
- C:\Users\Admin\AppData\Local\Temp\6368.tmp
  "C:\Users\Admin\AppData\Local\Temp\6368.tmp"
  2⤵
  PID:1200
- - C:\Users\Admin\AppData\Local\Temp\63B6.tmp
    "C:\Users\Admin\AppData\Local\Temp\63B6.tmp"
    3⤵
    PID:216
  - - C:\Users\Admin\AppData\Local\Temp\6404.tmp
      "C:\Users\Admin\AppData\Local\Temp\6404.tmp"
      4⤵
      PID:1604
    - - C:\Users\Admin\AppData\Local\Temp\6462.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6462.tmp"
        5⤵
        
        PID:2132
      - C:\Users\Admin\AppData\Local\Temp\64B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\64B0.tmp"
        6⤵
        
        PID:3776

C:\Users\Admin\AppData\Local\Temp\66D3.tmp
"C:\Users\Admin\AppData\Local\Temp\66D3.tmp"
1⤵
PID:3000
- C:\Users\Admin\AppData\Local\Temp\6721.tmp
  "C:\Users\Admin\AppData\Local\Temp\6721.tmp"
  2⤵
  PID:3448
- - C:\Users\Admin\AppData\Local\Temp\676F.tmp
    "C:\Users\Admin\AppData\Local\Temp\676F.tmp"
    3⤵
    PID:544
  - - C:\Users\Admin\AppData\Local\Temp\67AE.tmp
      "C:\Users\Admin\AppData\Local\Temp\67AE.tmp"
      4⤵
      PID:1668
    - - C:\Users\Admin\AppData\Local\Temp\67FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\67FC.tmp"
        5⤵
        
        PID:1468
      - C:\Users\Admin\AppData\Local\Temp\684A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\684A.tmp"
        6⤵
        
        PID:4872

C:\Users\Admin\AppData\Local\Temp\6898.tmp
"C:\Users\Admin\AppData\Local\Temp\6898.tmp"
1⤵
PID:2692
- C:\Users\Admin\AppData\Local\Temp\68E6.tmp
  "C:\Users\Admin\AppData\Local\Temp\68E6.tmp"
  2⤵
  PID:1768
- - C:\Users\Admin\AppData\Local\Temp\7829.tmp
    "C:\Users\Admin\AppData\Local\Temp\7829.tmp"
    3⤵
    PID:1456
  - - C:\Users\Admin\AppData\Local\Temp\7877.tmp
      "C:\Users\Admin\AppData\Local\Temp\7877.tmp"
      4⤵
      PID:4588
    - - C:\Users\Admin\AppData\Local\Temp\78C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\78C5.tmp"
        5⤵
        
        PID:3236
      - C:\Users\Admin\AppData\Local\Temp\7913.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7913.tmp"
        6⤵
        
        PID:1868
        
        C:\Users\Admin\AppData\Local\Temp\7961.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7961.tmp"
        7⤵
        
        PID:1132
        
        C:\Users\Admin\AppData\Local\Temp\79AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\79AF.tmp"
        8⤵
        
        PID:212
        
        C:\Users\Admin\AppData\Local\Temp\79FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\79FD.tmp"
        9⤵
        
        PID:2712

C:\Users\Admin\AppData\Local\Temp\7606.tmp
"C:\Users\Admin\AppData\Local\Temp\7606.tmp"
1⤵
PID:2304
- C:\Users\Admin\AppData\Local\Temp\7654.tmp
  "C:\Users\Admin\AppData\Local\Temp\7654.tmp"
  2⤵
  PID:544
- - C:\Users\Admin\AppData\Local\Temp\76A2.tmp
    "C:\Users\Admin\AppData\Local\Temp\76A2.tmp"
    3⤵
    PID:2912
  - - C:\Users\Admin\AppData\Local\Temp\76F0.tmp
      "C:\Users\Admin\AppData\Local\Temp\76F0.tmp"
      4⤵
      PID:1516
    - - C:\Users\Admin\AppData\Local\Temp\773E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\773E.tmp"
        5⤵
        
        PID:3956
      - C:\Users\Admin\AppData\Local\Temp\778C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\778C.tmp"
        6⤵
        
        PID:2692
        
        C:\Users\Admin\AppData\Local\Temp\77DB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\77DB.tmp"
        7⤵
        
        PID:1768

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\4F39.tmp

Filesize
486KB

MD5
ad9454e11ae3f21eab53038840f7314b

SHA1
b0a9a1e280fb578e49234876243ea67a716da767

SHA256
c04c9956038dec17ceedaeeef62f08d1c5997f5a637f9e89f1702b92f88b7ae3

SHA512
5326dedf457425bcf234eed2060214f2aa48d85048aaa91a427363cb19b1990926749414e25f96ccc7097aae1efc6710f1d90553311dde9ca9287774023aad0e

Download Submit
C:\Users\Admin\AppData\Local\Temp\4F39.tmp

Filesize
193KB

MD5
8421ccccc23ae272c33d7ba7e36021ef

SHA1
57476d0e4f26719901f2526aa4c35c7e189dc8f9

SHA256
a466147600d26c7e85f685720e49495117b356aa6fab46d45b0ac8055924ceff

SHA512
634a1ea80320569aebe102cdea9c65c724d40060c64655d1b73b0fa122f4f11620b1ef79c394bd8bb1ae73d114de577c8e93cbcd49d1a62cf7bc88b7123ea458

Download Submit
C:\Users\Admin\AppData\Local\Temp\4FA6.tmp

Filesize
486KB

MD5
a63039bc754f8fbb18997c8e05233a80

SHA1
183cff674156fc8092cbdffa5df61931ceac333a

SHA256
adce34f86126a85835d9079e3e749d2fa17a974a7209d9327b323e8176a5382b

SHA512
54b0e1e84a6671ad4ef4ccea998e426dc5ab1ffa7c75c7c7af4da46a0d3764f59292ccc48563e25cf63e8cf80482846c6823d36ac7a9ac854284cf6999773f5c

Download Submit
C:\Users\Admin\AppData\Local\Temp\4FA6.tmp

Filesize
403KB

MD5
3a47822596ffa74a25fc977c02adb1c4

SHA1
95ed5b2bffa18589b2e22dbdc571d796420f0779

SHA256
64063623ba4c4a616cd6bb6aac17923227fd70ce65f992f3793d6a7d2ed50dd6

SHA512
a1b5cb77d85bb08bf85ed1e21b40c4e9ff7f073cb4599d42e6f8e3fbc225678b9e1aef1f14997683d209b38e6de7e343777826b6d4cc1537bfda0dec05efd772

Download Submit
C:\Users\Admin\AppData\Local\Temp\4FF5.tmp

Filesize
65KB

MD5
17b18fc0402853d466ef5a556e1b8b6e

SHA1
4dd3ce921ea6a2a028c26fd4c72f36ad36fa1a68

SHA256
6629db0a16e4bf4a3f25c532c5c06cadcf1260ed6cb221ab54785354bb2769be

SHA512
04c644c5f46815c6db4a9be982167bd6fd221331f1935683527a37e4bb4f982fdadc28458d77cbe1d65f895c4569bd7f9644773c9dc0ad99fa3ea226a8df2746

Download Submit
C:\Users\Admin\AppData\Local\Temp\4FF5.tmp

Filesize
486KB

MD5
692cf6a5edd1ec5f16eeb124179e6b2c

SHA1
ded56ac4dfd7189e60a342496fe1e8759c032cc8

SHA256
5da85382bb6792a0a41c2054291c5283f9cba19d33c72205dd465878b7d3b219

SHA512
49d625ebac78225aebf68a5e36d2042e06df7ea87c5374022e8e43fd41e3cc00a7e00cf190d4b3d226fb1cd97d574d88ee63c41ef0af688d0fc06a775a1e97c1

Download Submit
C:\Users\Admin\AppData\Local\Temp\50C0.tmp

Filesize
486KB

MD5
761027d77af96f5b5704e759a8ba8c3c

SHA1
cc60b3827cfab06c2678ff81af9f0f7bb77be087

SHA256
8bb98823c556d780685f994746521ebdf96d2412daa1d9cfe544f55113bb89d5

SHA512
a847b15fca6af01369e825aab71930d758b17ce21c75895b1c75fb06693f44a14073afd12177672c881c3dd2b14bb40d81a00dcd944888f823e845e1c90b2b34

Download Submit
C:\Users\Admin\AppData\Local\Temp\510E.tmp

Filesize
486KB

MD5
929c7477821cb6d77e5c4441b8c98230

SHA1
4e20652112ca65b76af66c60132d450181e422f6

SHA256
6fc65687b936f8adae4d965e9444f119b82127dcbf689acf6dbbdad80f8c1274

SHA512
17648cad1d7fbfd0b126f4dfcc4ae3c5e152e9f16a042c30df56ac3a3088ceb2cfdf1695190ed06cc2563801700841f6cdd60bbbd8b7a5e14c1ca297cbdb52ac

Download Submit
C:\Users\Admin\AppData\Local\Temp\52A4.tmp

Filesize
486KB

MD5
12119d83bc16dbf5e7c291dfd537fb5e

SHA1
95e32d0c51ee61e8b066e9f86cff3f73709ad06e

SHA256
fff3546902c829bb96406cc79b68ffb680eba6c74d21b885e6f54a614639abe6

SHA512
0a6f16ca3167ff70e8732940a9970f4dcc2157c17451f34bf9f65c19f534c13556f672f1a42fe7d579935e20eb3594837f3606afcb311658be4751dcaeb293c3

Download Submit
C:\Users\Admin\AppData\Local\Temp\5302.tmp

Filesize
486KB

MD5
57b326183461089b4ada29586e43d072

SHA1
6940c0090b28949607101c1b7d1173af47f3b4c6

SHA256
da721dcbbe3da6f02e2c6b0d0656dbb2b6710b93f451064ff7907e34323ccbad

SHA512
8394b29d93818205eb16dfc6919338e9e747e1578625959bc312bb73d826d0a625e6a466dac4698d76ba4c2ce02d0ec81df650a98e5f419260cceb239a47d0e5

Download Submit
C:\Users\Admin\AppData\Local\Temp\539E.tmp

Filesize
486KB

MD5
3b4737d35dd8796413040bc92ad6e828

SHA1
c9c35e6004e5f14e9414390e2245a8e0b769bd46

SHA256
038f5df2f6e37557fe7141d4f3eb545b9084e0693172b2d2cc99e0724ef73050

SHA512
a1be81dbd0f11407a5284efdf24cba21ce0a467c365229a40b15d720784eeb28898bdc9793ccca080c1cb1d6bda8eb3fd97eadfc18fcc7901e22acdecc50b4f0

Download Submit
C:\Users\Admin\AppData\Local\Temp\53EC.tmp

Filesize
486KB

MD5
c4c9ad86e787de42aadc41173faa250b

SHA1
f68ea726a5fcdb8e628a5e103c4c27f4763a9dc6

SHA256
89fadaba2715184aa02899a0fe8beb7ce1a1471c6e982e241beb7200e13b74bf

SHA512
a8528e6ee35c5a1e372438414bd05f3b0420730bcfdd4bf0d6b18057e96b43869c476ce46ceba7b650e6655af31bf467895e935864da28f82597523ce271bc2d

Download Submit
C:\Users\Admin\AppData\Local\Temp\5498.tmp

Filesize
486KB

MD5
2dd4776398c97a175f24d3b593035e36

SHA1
e1c278b4b14f631ba34d595848a39d140f9bb171

SHA256
38671d0d8dc3b55a1dd9f87bc9fb34284ac44f761dc017f807c22709465bbffc

SHA512
4f1c6969b243ab7301ae959d6e567ae92f79f60d23e93cc67e1b4ca25757670ac9d050f91f3eb81150ac9f38e9406c681b0f2a312c4bd45a564087d09afc1568

Download Submit
C:\Users\Admin\AppData\Local\Temp\54E6.tmp

Filesize
486KB

MD5
75530c22cffb293ae2751492eae27903

SHA1
97fc22b43191e24afbdaa0e66414e7af4292da85

SHA256
b0b649ebfb00bccd0c9187f99046a15c1265056a8e0d4a4fa86c3cabdcd4402f

SHA512
88beb94980c13b885bf9fed7cbf43f94b80b58f2475acf506d7cdc621bd95afd12e3ca7e68f657bceb302b0053cd416bd824409c05563336d41bdc3d38459b7b

Download Submit
C:\Users\Admin\AppData\Local\Temp\561F.tmp

Filesize
486KB

MD5
c95d5a0e2c04b1dfaf9aa63535bc126c

SHA1
eeef90af804d0da1f0a35d6893ae11d5c4dba6b1

SHA256
cebb78b9375f4af35c1cf909c9721fba76bb786741637b76b827227d7b307d7a

SHA512
5e9eda56f4da0c52af59941efb76b2e0aebd9fd82e970c0006581d8dadd9bc797ffd2a19e5df8b82755a6434e41d7292beb5e0d61ccfa8ef4f4a8d89c2aebda9

Download Submit
C:\Users\Admin\AppData\Local\Temp\56EA.tmp

Filesize
486KB

MD5
6841db138f727b07b18a45e2cda60bed

SHA1
aa3738d07fe81adc2b10786bfb240d3c145f0331

SHA256
6a73d8ad44cb989b35ee1516ef246eef888c16d2d628fabbc7c427de56e8fab0

SHA512
9080331379eb33227ebba71bb91f36b1ef2e11dbfe09eb1bde28d69e0597a3a0fabdcafdceb8d76a4a5033503cc82c5e4884469f63f15f053ee7ec25a293783e

Download Submit
C:\Users\Admin\AppData\Local\Temp\5738.tmp

Filesize
486KB

MD5
7871ceb50423e4fbe7a17ebfc830cfd7

SHA1
62c066c6de5e256b1ee25cd1b0771a111dd697da

SHA256
9759d311af639def6ad04b0090e7d4dd3c5e47c065ee129177048dacc1eeb7a8

SHA512
4f535fc71db89579fd152710169ce0ec23a8b942b11bb4d6caed5b59c769bd0fee328943b975a696a759193c4cd1096369aee368efe8d240c3d5f70db4845921

Download Submit
C:\Users\Admin\AppData\Local\Temp\5890.tmp

Filesize
486KB

MD5
c50b6324bb6ce0e9643235bd47e298d8

SHA1
affa5aecb7435a8a527743ad7f1e2ca71bdeb3db

SHA256
43b6c80d522db1231b1c7f5cb5d7207b2b773189e9a9a421c0433cebe4276b1c

SHA512
f8a5821a228939e2e770b74e5250b9779e05f2683118324b488fe227e96ddb2ad610d89bfe6d23744c819cd2b7df22902dcd79b0de68319f675278f0220d856f

Download Submit
C:\Users\Admin\AppData\Local\Temp\591C.tmp

Filesize
486KB

MD5
6596474df21aea524a86685cb5ef8a6d

SHA1
39e4c39babf2cd610d67c1d1aa9e925929f61125

SHA256
3fbf1d84a526434c0b992f3ac8b5b9e01f31e14afeb86edd2f002fa7ee2bb1b1

SHA512
916a6b1cc7f9758e79a973b23306cf5525c4ee874977b759ef18d39e391aa1ae97dd06ccf0c995b4e1fae7c2aa5e09069e14ec3ee61cd3896c21e8ed10eb9a96

Download Submit

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads